配置基于用户上下文模板授予用户网络访问权限
背景信息
所谓用户上下文即用户的关联信息,比如用户名、用户VLAN、接入接口等。
- 用户认证成功时,认证服务器可以根据设备上报的用户上下文信息,为用户授予其所属上下文模板的网络访问权限。
- 用户认证失败时,设备根据用户认证事件授权策略中,上下文模板绑定的用户认证成功前各阶段的网络访问权限,为其授权。
例如,在一些企业网络中,通过VLAN将整个网络划分成不同的区域,并且不同区域的安全等级不同,管理员希望同一个用户从不同的区域接入网络时,能够获取的网络访问权限也不同。此时,可以在接入设备上使能用户上下文识别功能,并将属于同一区域的一组VLAN划分到同一个用户上下文模板中,管理员根据区域的安全等级,为不同的用户上下文模板授予相应的网络访问权限。这样,同一用户在不同区域上线时,由于其接入VLAN匹配的用户上下文模板不同,因此用户加入的上下文模板也不同,故获取的网络访问权限也不同。
当前设备仅支持识别用户VLAN信息。
802.1X认证过程中,当客户端无响应时,即使匹配了用户上下文模板,由于客户端无响应,不能触发802.1X认证,此时配置的用户上下文模板不生效。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令access-context profile enable,使能用户上下文识别功能。
缺省情况下,未使能用户上下文识别功能。
- 创建用户上下文模板并配置识别策略
执行命令access-context profile name profile-name,创建用户上下文模板并进入用户上下文模板视图。
缺省情况下,未创建用户上下文模板。
执行命令if-match vlan-id { start-vlan-id [ to end-vlan-id ] } &<1-10>,配置基于VLAN ID的用户识别策略。
缺省情况下,未配置基于VLAN ID的用户识别策略。
执行命令quit,返回到系统视图。
- 基于用户上下文模板,为用户授予网络访问权限
执行命令access-author policy name policy-name,创建用户认证事件授权策略并进入认证事件授权策略视图。
缺省情况下,未创建用户认证事件授权策略。
执行命令match access-context-profile profile-name action { authen-fail service-scheme service-scheme-name | authen-server-down service-scheme service-scheme-name | authen-server-up re-authen | client-no-response service-scheme service-scheme-name | portal-server-down service-scheme service-scheme-name | portal-server-up re-authen | pre-authen service-scheme service-scheme-name } *,基于用户上下文模板配置指定用户在认证成功前各阶段的网络访问权限。
缺省情况下,未配置指定用户在认证成功前各阶段的网络访问权限。
由于用户认证成功前各阶段的网络访问权限是通过业务方案授予的,所以,执行该步骤前,首先需要在AAA视图下,通过命令service-scheme创建业务方案。
执行命令match access-context-profile profile-name action access-domain domain-name [ dot1x | mac-authen | portal ] * [ force ],基于用户上下文模板配置接入用户的认证域。
缺省情况下,未基于用户上下文模板配置接入用户的认证域。
执行该步骤前,首先需要在AAA视图下,执行命令domain(AAA视图),创建域。
执行命令quit,返回到系统视图。
执行命令access-author policy policy-name global,应用用户认证事件授权策略。
缺省情况下,未应用用户认证事件授权策略。
