1、H3C 华为 01AAA命令详解精编版01-AAA命令目 录1 AAA配置命令1.1 AAA配置命令1.1.1 aaa nas-id profile【命令】aaa nas-id profile profile-nameundo aaa nas-id profile profile-name【视图】系统视图【缺省级别】2:系统级【参数】profile-name:保存NAS-ID与VLAN绑定关系的Profile名称,为116个字符的字符串,不区分大小写。【描述】aaa nas-id profile命令用来创建一个NAS-ID Profile或者进入一个已创建的NAS-ID-Profile视图。u
2、ndo aaa nas-id profile命令用来删除一个指定的NAS-ID Profile。相关配置可参考命令nas-id bind vlan。【举例】# 创建一个名字为aaa的NAS-ID Profile。 system-viewSysname aaa nas-id profile aaaSysname-nas-id-prof-aaa1.1.2 access-limit【命令】access-limit max-user-numberundo access-limit【视图】本地用户视图【缺省级别】3:管理级【参数】max-user-number:表示使用当前用户名接入设备的最大用户数,取
3、值范围为11024。【描述】access-limit命令用来设置当前用户名可容纳的最大接入用户数。undo access-limit命令用来取消对当前用户名的接入用户数限制。缺省情况下,不限制当前本地用户名可容纳的接入用户数。需要注意的是,本地用户的access-limit命令只在配置了本地计费方案的情况下生效。相关配置可参考命令display local-user。【举例】# 允许同时以用户名abc在线的用户数为5。 system-viewSysname local-user abcSysname-luser-abc access-limit 51.1.3 access-limit enab
4、le【命令】access-limit enable max-user-numberundo access-limit enable【视图】ISP域视图【缺省级别】2:系统级【参数】max-user-number:表示当前ISP域可容纳接入用户数的最大值,取值范围为1-2147483646。【描述】access-limit enable命令用来限制当前ISP域可容纳接入用户数。undo access-limit enable命令用来恢复缺省情况。缺省情况下,不限制当前ISP域可容纳的接入用户数。需要注意的是,由于接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前ISP域的用户获得可靠
5、的性能保障。对当前ISP域下所能接入的用户数进行限制后,当接入此域的用户数超过当前ISP域可容纳的最大用户数后,新接入的用户将被拒绝。【举例】# 指定ISP域test最多可容纳500个接入用户。 system-viewSysname domain testSysname-isp-test access-limit enable 5001.1.4 accounting default【命令】accounting default local | none | radius-scheme radius-scheme-name local undo accounting default【视图】ISP域
6、视图【缺省级别】2:系统级【参数】local:本地计费。none:不计费。radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为132个字符的字符串。【描述】accounting default命令用来为所有类型的用户配置缺省的计费方案。undo accounting default命令用来恢复缺省情况。缺省情况下,所有类型的用户采用local计费方案。需要注意的是: 当前ISP域所引用的RADIUS方案必须是已配置的。 本命令所配置的计费方案不区分用户类型,即对所有类型的用户都起作用。此配置
7、的优先级低于具体接入方式的配置。 本地计费只是为了支持本地用户的连接数管理,没有实际的统计功能。本地的接入数管理只对本地计费有效,对本地认证和授权没有作用。相关配置可参考命令authentication default、authorization default和radius scheme。【举例】# 在系统缺省的ISP域system下,为所有类型的用户配置计费方案为local。 system-viewSysname domain systemSysname-isp-system auccounting default local# 在ISP域test下,为所有类型的用户配置方案名为rd的RA
8、DIUS计费方案,并且local作为备份计费方案。 system-viewSysname domain testSysname-isp-test accounting default radius-scheme rd local1.1.5 accounting login【命令】accounting login local | none | radius-scheme radius-scheme-name local undo accounting login【视图】ISP域视图【缺省级别】2:系统级【参数】local:本地计费。实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。no
9、ne:不计费。radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为132个字符的字符串。【描述】accounting login命令用来为login用户配置计费方案。undo accounting login命令用来恢复缺省情况。缺省情况下,login用户采用缺省的计费方案。需要注意的是: 当前ISP域所引用的RADIUS方案必须是已配置的。 login接入方式中的FTP服务不支持计费流程。相关配置可参考命令accounting default和radius scheme。【举例】# 在系统
10、缺省的ISP域system下,为login用户配置计费方案为local。 system-viewSysname domain systemSysname-isp-system accounting login local# 在ISP域test下,为login用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。 system-viewSysname domain testSysname-isp-test accounting login radius-scheme rd local1.1.6 accounting optional【命令】accounting option
11、alundo accounting optional【视图】ISP域视图【缺省级别】2:系统级【参数】无【描述】accounting optional命令用来打开计费可选开关。undo accounting optional命令用来关闭计费可选开关。缺省情况下,计费可选处于关闭状态。需要注意的是: 对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若配置了本命令,则用户可以继续使用网络资源,且系统不再为其发送实时计费更新报文,否则用户连接将被切断。该命令适用于只认证但不关心计费的情况。 计费可选开关打开的情况下,本地用户视图下的access-limit命令配置的本地用户的
12、连接数限制功能不生效。【举例】# 打开ISP域test的计费可选开关。 system-viewSysname domain testSysname-isp-test accounting optional1.1.7 authentication default【命令】authentication default local | none | radius-scheme radius-scheme-name local undo authentication default【视图】ISP域视图【缺省级别】2:系统级【参数】local:本地认证。none:不进行认证。radius-scheme r
13、adius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为132个字符的字符串。【描述】authentication default命令用来为所有类型的用户配置缺省的认证方案。undo authentication default命令用来为恢复缺省情况。缺省情况下,所有类型的用户采用local认证。需要注意的是: 当前ISP域所引用的RADIUS方案必须是已配置的。 本命令配置的认证方案不区分用户类型,即对所有类型的用户都起作用。此配置的优先级低于具体接入方式的配置。相关配置可参考命令authorization default
14、、accounting default和radius scheme。【举例】# 在系统缺省的ISP域system下,为所有类型的用户配置认证方案为local。 system-viewSysname domain systemSysname-isp-system authentication default local# 在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。 system-viewSysname domain testSysname-isp-test authentication default radius-scheme
15、 rd local1.1.8 authentication login【命令】authentication login local | none | radius-scheme radius-scheme-name local undo authentication login【视图】ISP域视图【缺省级别】2:系统级【参数】local:本地认证。none:不进行认证。radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为132个字符的字符串。【描述】authentication login命
16、令用来为login用户配置认证方案。undo authentication login命令用来恢复缺省情况。缺省情况下,login用户采用缺省的认证方案。需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。相关配置可参考命令authentication default和radius scheme。【举例】# 在系统缺省的ISP域system下,为login用户配置认证方案为local。 system-viewSysname domain systemSysname-isp-system authentication login local# 在ISP域test下,为login用户
17、配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。 system-viewSysname domain testSysname-isp-test authentication login radius-scheme rd local1.1.9 authorization command【命令】authorization command local | none undo authorization command【视图】ISP域视图【缺省级别】2:系统级【参数】local:本地授权。none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。【描述
18、】authorization command命令用来为命令行用户配置授权方案。undo authorization command命令用来恢复缺省情况。缺省情况下,命令行用户采用缺省的授权方案。需要注意的是,对于本地授权,本地用户必须存在,而且当前要授权的命令行的级别不能大于本地用户的级别,否则本地授权失败。相关配置可参考命令authorization default。【举例】# 在系统缺省的ISP域system下,为命令行用户配置授权方案为local。 system-viewSysname domain systemSysname-isp-system authorization comma
19、nd local1.1.10 authorization default【命令】authorization default local | none | radius-scheme radius-scheme-name local undo authorization default【视图】ISP域视图【缺省级别】2:系统级【参数】local:本地授权。none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为13
20、2个字符的字符串。【描述】authorization default命令用来为所有类型的用户配置缺省的授权方案。undo authorization default命令用来恢复缺省情况。缺省情况下,所有类型的用户采用local授权方案。需要注意的是: 当前ISP域所引用的RADIUS方案必须是已配置的。 authorization default命令配置的授权方案不区分用户类型,即对所有类型的用户都起作用。此配置的优先级低于具体接入方式的配置。 RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。对于所有RADIUS授权失败的情况
21、,授权失败返回给NAS的原因为server没有响应。相关配置可参考命令authentication default、accounting default和radius scheme。【举例】# 在系统缺省的ISP域system下,为所有类型的用户配置授权方案为local。 system-viewSysname domain systemSysname-isp-system authorization default local# 在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。 system-viewSysname domain t
22、estSysname-isp-test authorization default radius-scheme rd local1.1.11 authorization login【命令】authorization login local | none | radius-scheme radius-scheme-name local undo authorization login【视图】ISP域视图【缺省级别】2:系统级【参数】local:本地授权。none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。radius-scheme radius-scheme-na
23、me:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为132个字符的字符串。【描述】authorization login命令用来为login用户配置授权方案。undo authorization login命令用来恢复缺省情况。缺省情况下,login用户采用缺省的授权方案。需要注意的是: 当前ISP域所引用的RADIUS方案必须是已配置的。 RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。相关配置可参考命令authorization default和radius scheme。【举例
24、】# 在系统缺省的ISP域system下,为login用户配置授权方案为local。 system-viewSysname domain systemSysname-isp-system authorization login local# 在ISP域test下,为login用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。 system-viewSysname domain testSysname-isp-test authorization login radius-scheme rd local1.1.12 authorization-attribute【命令】
25、authorization-attribute acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name *undo authorization-attribute acl | callback-number | idle-cut | level | user-profile | vlan | work-directory *【视图】本地用户视
26、图/用户组视图【缺省级别】3:管理级【参数】acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为20005999。callback-number callback-number:指定本地用户的授权PPP回呼号码。其中,callback-number为164个字符的字符串,区分大小写。idle-cut minute:启用本地用户的闲置切断功能。其中,minute为设定的闲置切断时间,取值范围为1120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。level level:指定本地用户的级别,取值范围为03。其中
27、0为访问级、1为监控级、2为系统级、3为管理级,数值越小,用户的级别越低。缺省值为0。user-profile profile-name:指定本地用户的授权User Profile。其中,profile-name表示用户配置文件的名称,为132个字符的字符串,只能包含英文字母、数字、下划线,且必须以英文字母开始,区分大小写。vlan vlan-id:指定本地用户的授权VLAN。其中,vlan-id为VLAN编号,取值范围为14094。work-directory directory-name:授权FTP/SFTP用户可以访问的目录。其中,directory-name表示FTP/SFTP用户可以
28、访问的目录,为1135个字符的字符串,不区分大小写,且该目录必须已经存在。【描述】authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。undo authorization-attribute命令用来删除配置的授权属性。缺省情况下,未设置任何授权属性。需要注意的是: 可配置的授权属性都有其明确的使用环境和用途,而且本地用户授权属性的下发并不区分用户的服务类型,即会对所有类型的接入用户都下发已配置的授权属性,因此配置下发的授权属性时要考虑该类型的用户是否需要某些属性。例如,PPP接入用户不需要下发授权目录,因此就不要
29、设置PPP用户的work-directory属性。 用户组的授权属性对于组内的所有本地用户生效。 若本地用户与所属的用户组都配置了授权属性,则本地用户的配置生效。 如果配置登录用户界面的验证方式(authentication-mode)为不认证(none)或采用密码认证(password),则用户登录到系统后所能访问的命令级别由用户界面的级别确定。关于配置登录用户界面的验证方式的具体内容请参见“系统分册/用户界面命令”中的命令authentication-mode;如果配置的认证方式需要用户名和口令,则用户登录系统后所能访问的命令级别由用户的级别确定。对于SSH用户,使用RSA公钥认证时,其所能使用的命令以用户界面上设置的级别为准。 如果通过文件系统命令删除指定的FTP/SFTP用户可以访问的目录,则FTP/SFTP用户将不能访问此目录; 如果在当前指定的FTP/SFTP用户可以访问的目录中携带备板槽位信息,则主备切换后FT
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 