(可选)配置对用户进行重认证
背景信息
用户在预连接阶段或认证失败阶段,设备会记录用户表项信息,并能够为用户分配受限的网络访问权限(请参见(可选)配置认证事件授权信息)。为使用户能够及时认证成功,获取正常的网络访问权限,设备根据用户表项对没有认证成功的用户进行重认证。
在用户表项老化时间到达之前,如果用户重认证没有成功,设备将删除对应的表项信息,并收回授予用户的网络访问权限;如果用户重认证成功,设备将用户加入到认证成功的用户表项,并授予认证成功后的网络访问权限。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令authentication-profile name authentication-profile-name,进入认证模板视图。
- 执行命令authentication timer re-authen { pre-authen re-authen-time | authen-fail re-authen-time [ wlan-user ] },配置预连接用户或认证失败用户进行重认证的周期。
缺省情况下,对于有线用户,对预连接用户或认证失败用户进行重认证的周期为60秒;对于无线用户,对认证失败用户进行重认证的周期为0秒,即关闭认证失败用户的重认证功能。
获取authen-fail或authen-server-down授权的用户或预连接用户,会加入到认证失败或预连接用户表项。设备默认对表项内的用户进行重认证,重认证周期可以通过以上步骤调节。
当用户数较多时,为减少对设备性能的影响,用户进行重认证的周期可能大于配置的重认证的周期。
- 执行命令authentication event authen-server-up action re-authen,使能当认证服务器状态由Down或强制Up转变为真正Up时,设备对处于逃生状态的用户进行重认证。
缺省情况下,当认证服务器状态由Down或强制Up转变为真正Up时,设备不会对处于逃生状态的用户进行重新认证。
设备将RADIUS服务器的状态设置为Down,执行命令radius-server dead-time dead-time配置RADIUS服务器恢复激活状态的时间,当dead-time超时后,设备会将服务器的状态设置为Up,此状态为强制Up。服务器可以成功收发报文时为真正Up状态。服务器状态从Down或强制Up状态转变为真正Up状态时,设备会对用户进行重认证。
- 执行命令authentication event authen-server-down action close re-authen,关闭认证服务器状态Down时重认证功能。
缺省情况下,认证服务器状态Down时,重认证功能处于开启状态。
在重认证场景中,执行命令authentication event action authorize keep后,认证服务器状态为Down时,在线用户保持原有的网络访问权限。如果对这些用户还进行重认证,造成客户端频繁发起重认证,多次后客户端可能会保持静默,导致用户无法上网。为避免上述现象,建议关闭认证服务器状态Down时重认证功能。
