H3C 华为 01-AAA命令详解(3)

相关配置可参考命令authentication default、accounting default和radius scheme。 【举例】

# 在系统缺省的ISP域system下，为所有类型的用户配置授权方案为local。

system-view [Sysname] domain system

[Sysname-isp-system] authorization default local

# 在ISP域test下，为所有类型的用户配置方案名为rd的RADIUS授权方案，并且local作为备份授权方案。

system-view [Sysname] domain test

[Sysname-isp-test] authorization default radius-scheme rd local

1.1.11 authorization login

【命令】

authorization login { local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization login 【视图】

ISP域视图 【缺省级别】

2：系统级 【参数】

local：本地授权。

none：直接授权，即对用户非常信任，直接授权通过，此时用户的权限为系统的默认权限。

radius-scheme radius-scheme-name：指定

RADIUS

方案。其中，

radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串。 【描述】

authorization login命令用来为login用户配置授权方案。undo authorization login命令用来恢复缺省情况。

缺省情况下，login用户采用缺省的授权方案。 需要注意的是：

? ?

当前ISP域所引用的RADIUS方案必须是已配置的。

RADIUS授权是特殊的流程，只是在认证和授权的RADIUS方案相同的条件

下，RADIUS授权起作用，否则授权失败。

相关配置可参考命令authorization default和radius scheme。

【举例】

# 在系统缺省的ISP域system下，为login用户配置授权方案为local。

system-view [Sysname] domain system

[Sysname-isp-system] authorization login local

# 在ISP域test下，为login用户配置方案名为rd的RADIUS授权方案，并且local作为备份授权方案。

system-view [Sysname] domain test

[Sysname-isp-test] authorization login radius-scheme rd local

1.1.12 authorization-attribute

【命令】

authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name } *

undo authorization-attribute { acl | callback-number | idle-cut | level | user-profile | vlan | work-directory } * 【视图】

本地用户视图/用户组视图 【缺省级别】

3：管理级 【参数】

acl acl-number：指定本地用户的授权ACL。其中，acl-number为授权ACL的编号，取值范围为2000～5999。

callback-number callback-number：指定本地用户的授权PPP回呼号码。其中，callback-number为1～64个字符的字符串，区分大小写。

idle-cut minute：启用本地用户的闲置切断功能。其中，minute为设定的闲置切断时间，取值范围为1～120，单位为分钟。如果用户在线后连续闲置的时长超过该值，设备会强制该用户下线。

level level：指定本地用户的级别，取值范围为0～3。其中0为访问级、1为监控级、2为系统级、3为管理级，数值越小，用户的级别越低。缺省值为0。

user-profile profile-name：指定本地用户的授权User Profile。其中，profile-name表示用户配置文件的名称，为1～32个字符的字符串，只能包含英文字母、数字、下划线，且必须以英文字母开始，区分大小写。

vlan vlan-id：指定本地用户的授权VLAN。其中，vlan-id为VLAN编号，取值范围为1～4094。

work-directory directory-name：授权FTP/SFTP用户可以访问的目录。其中，directory-name表示FTP/SFTP用户可以访问的目录，为1～135个字符的字符串，不区分大小写，且该目录必须已经存在。 【描述】

authorization-attribute命令用来设置本地用户或用户组的授权属性，该属性在本地用户认证通过之后，由设备下发给用户。undo authorization-attribute命令用来删除配置的授权属性。

缺省情况下，未设置任何授权属性。 需要注意的是：

?

可配置的授权属性都有其明确的使用环境和用途，而且本地用户授权属性的下

发并不区分用户的服务类型，即会对所有类型的接入用户都下发已配置的授权属性，因此配置下发的授权属性时要考虑该类型的用户是否需要某些属性。例如，PPP接入用户不需要下发授权目录，因此就不要设置PPP用户的work-directory属性。

? ? ?

用户组的授权属性对于组内的所有本地用户生效。

若本地用户与所属的用户组都配置了授权属性，则本地用户的配置生效。 如果配置登录用户界面的验证方式（authentication-mode）为不认证（none）

或采用密码认证（password），则用户登录到系统后所能访问的命令级别由用户界面的级别确定。关于配置登录用户界面的验证方式的具体内容请参见“系统分册/用户界面命令”中的命令authentication-mode；如果配置的认证方式需要用户名和口令，则用户登录系统后所能访问的命令级别由用户的级别确定。对于SSH用户，使用RSA公钥认证时，其所能使用的命令以用户界面上设置的级别为准。

?

如果通过文件系统命令删除指定的FTP/SFTP用户可以访问的目录，则如果在当前指定的FTP/SFTP用户可以访问的目录中携带备板槽位信息，则

FTP/SFTP用户将不能访问此目录；

?

主备切换后FTP/SFTP用户将不能正常登录，建议用户在指定工作目录时不要携带槽位信息。

【举例】

# 配置用户组abc的授权VLAN为VLAN 3。

system-view [Sysname] user-group abc

[Sysname-ugroup-abc] authorization-attribute vlan 3

1.1.13 authorization-attribute user-profile

【命令】

authorization-attribute user-profile profile-name undo authorization-attribute user-profile 【视图】

ISP域视图 【缺省级别】

3：管理级 【参数】

profile-name：指定的User Profile名称，为1～31个字符的字符串，区分大小写。User Profile的相关配置请参考“系统分册”中的“User Profile命令”。 【描述】

authorization-attribute user-profile命令用于配置当前ISP域的缺省授权User Porfile。undo authorization-attribute user-profile命令用于恢复缺省情况。 缺省情况下，当前ISP域无缺省授权User Porfile。

如果当前ISP域的用户认证成功，但认证服务器（包括本地认证下的接入设备）对未对该ISP域下发授权User Porfile，则系统使用本配置指定的User Porfile作为当前ISP域的授权User Porfile。

需要注意的是，重复配置本命令，会覆盖原有的配置。 【举例】

# 配置test域下的缺省授权User Profile为profile1。

system-view [Sysname] domain test

[Sysname-isp-test] authorization-attribute user-profile profile1

1.1.14 …… 此处隐藏：3519字，全部文档内容请下载后查看。喜欢就下载吧 ……