- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-AAA命令
本章节下载: 01-AAA命令 (287.11 KB)
目 录
1.1.12 authorization-attribute(ISP domain view)
1.1.16 service-type(ISP domain view)
1.1.17 session-time include-idle-time
1.2.2 authorization-attribute(Local user view/user group view)
1.2.6 display local-guest waiting-approval
1.2.12 local-guest auto-delete enable
1.2.13 local-guest email format
1.2.14 local-guest email sender
1.2.15 local-guest email smtp-server
1.2.17 local-guest manager-email
aaa session-limit命令用来配置同时在线的最大用户连接数,即采用指定登录方式登录设备并同时在线的用户数。
undo aaa session-limit命令用来恢复缺省情况。
【命令】
aaa session-limit { ftp | telnet } max-sessions
undo aaa session-limit { ftp | telnet }
【缺省情况】
同时在线的各类型最大用户连接数均为32。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ftp:表示FTP用户。
telnet:表示Telnet用户。
max-sessions:允许同时在线的最大用户连接数,取值范围以各产品实际情况为准。
【使用指导】
配置本命令后,当指定类型的接入用户的用户数超过当前配置的最大连接数后,新的接入请求将被拒绝。
【举例】
# 设置同时在线的最大FTP用户连接数为4。
<Sysname> system-view
[Sysname] aaa session-limit ftp 4
accounting default命令用来为当前ISP域配置缺省的计费方法。
undo accounting default命令用来恢复缺省情况。
【命令】
accounting default { local [ none ] | none }
undo accounting default
【缺省情况】
当前ISP域的缺省计费方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
local:本地计费。
none:不计费。
【使用指导】
当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效。
本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。
可以指定多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。
【举例】
# 在ISP域test下,配置缺省计费方法为使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting default radius-scheme rd local
【相关命令】
· local-user
accounting login命令用来为login用户配置计费方法。
undo accounting login命令用来恢复缺省情况。
【命令】
accounting login { local [ none ] | none }
undo accounting login
【缺省情况】
login用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
local:本地计费。
none:不计费。
【使用指导】
不支持对FTP、SFTP以及SCP类型的login用户进行计费。
可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。
【举例】
# 在ISP域test下,为login用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login radius-scheme rd local
【相关命令】
· accounting default
· local-user
accounting quota-out命令用来配置用户计费流量配额耗尽策略。
undo accounting quota-out命令用来恢复缺省情况。
【命令】
accounting quota-out { offline | online }
undo accounting quota-out
【缺省情况】
用户的计费流量配额耗尽后将被强制下线。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
offline:当用户的整体流量配额耗尽后,强制用户下线。
online:当用户的整体流量配额耗尽后,允许用户保持在线状态。
【举例】
# 在ISP域test下,配置用户计费流量配额耗尽策略为:当流量配额耗尽后用户仍能保持在线状态。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-domain-test] accounting quota-out online
accounting start-fail命令用来配置用户计费开始失败策略,即设备向计费服务器发送计费开始请求失败后,是否允许用户接入网络。
undo accounting start-fail命令用来恢复缺省情况。
【命令】
accounting start-fail { offline | online }
undo accounting start-fail
【缺省情况】
如果用户计费开始失败,允许用户保持在线状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
offline:强制用户下线。
online:允许用户保持在线状态。
【举例】
# 在ISP域test下,配置计费开始失败策略为:用户计费开始失败时允许用户保持在线状态。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-domain-test] accounting start-fail online
accounting update-fail命令用来配置用户计费更新失败策略,即设备向计费服务器发送用户的计费更新报文失败时,是否允许用户接入网络。
undo accounting update-fail命令用来恢复缺省情况。
【命令】
accounting update-fail { [ max-times max-times ] offline | online }
undo accounting update-fail
【缺省情况】
如果用户计费更新失败,允许用户保持在线状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
max-times max-times:允许用户连续计费更新失败的次数,取值范围1~255,缺省值为1。
offline:如果用户连续计费更新失败的次数达到了指定的次数,则强制用户下线。
online:如果用户计费更新失败,允许用户保持在线状态。
【举例】
# 在ISP域test下,配置计费更新失败策略为:用户计费更新失败时允许用户保持在线状态。
<Sysname> system-view
[Sysname] domain isp1
[Sysname-isp-domain-isp1] accounting update-fail online
authentication default命令用来为当前ISP域配置缺省的认证方法。
undo authentication default命令用来为恢复缺省情况。
【命令】
authentication default { local [ none ] | none }
undo authentication default
【缺省情况】
当前ISP域的缺省认证方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
local:本地认证。
none:不进行认证。
【使用指导】
当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效。
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。
【举例】
# 在ISP域test下,配置缺省认证方法为使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication default radius-scheme rd local
【相关命令】
· local-user
authentication login命令用来为login用户配置认证方法。
undo authentication login命令用来恢复缺省情况。
【命令】
authentication login { local [ none ] | none }
undo authentication login
【缺省情况】
login用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
local:本地认证。
none:不进行认证。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。
【举例】
# 在ISP域test下,为login用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login local
【相关命令】
· authentication default
· local-user
authorization command命令用来配置命令行授权方法。
undo authorization command命令用来恢复缺省情况。
【命令】
authorization command { local [ none ] | none }
undo authorization command
【缺省情况】
命令行授权采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
local:本地授权。
none:不授权。用户执行角色所允许的命令时,无须接受授权服务器的检查。
【使用指导】
命令行授权是指,用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行。用户登录后可以执行的命令受登录授权的用户角色和命令行授权的用户角色的双重限制,即,仅登录授权的用户角色和命令行授权的用户角色均允许执行的命令行,才能被执行。需要注意的是,命令行授权功能只利用角色中的权限规则对命令行执行权限检查,不进行其它方面的权限检查,例如资源控制策略等。
对用户采用本地命令行授权时,设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查,只有本地用户中配置的授权用户角色所允许的命令才被允许执行。
可以指定多个备选的命令行授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权。
【举例】
# 在ISP域test下,配置命令行授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command local
【相关命令】
· authorization accounting(基础命令参考/登录设备)
· local-user
authorization default命令用来为当前ISP域配置缺省的授权方法。
undo authorization default命令用来恢复缺省情况。
【命令】
authorization default { local [ none ] | none }
undo authorization default
【缺省情况】
当前ISP域的缺省授权方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统所给予的缺省用户角色,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非Login用户可直接访问网络。关于缺省用户角色的详细介绍请参见“基础配置指导”中的“RBAC”。
【使用指导】
当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的授权方法,则该授权方法对于这类用户不能生效。
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
【举例】
# 在ISP域test下,配置缺省授权方法为使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization default radius-scheme rd local
【相关命令】
· local-user
authorization login命令用来为login用户配置授权方法。
undo authorization login命令用来恢复缺省情况。
【命令】
authorization login { local [ none ] | none }
undo authorization login
【缺省情况】
login用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console/AUX/异步串口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统所给予的缺省用户角色,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限。关于缺省用户角色的详细介绍请参见“基础配置指导”中的“RBAC”。
【使用指导】
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。
【举例】
# 在ISP域test下,为login用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login local
【相关命令】
· authorization default
· local-user
authorization-attribute命令用来设置当前ISP域下的用户授权属性。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute { idle-cut minute [ flow ] session-group-profile session-group-profile-name | user-group user-group-name }
undo authorization-attribute { idle-cut | session-group-profile | user-group }
【缺省情况】
未对当前ISP域下的用户设置任何授权属性,其中用户闲置切换功能处于关闭状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
idle-cut minute:指定用户的闲置切断时间。其中,minute的取值范围为1~600,单位为分钟。
flow:用户在闲置切断时间内产生的数据流量,取值范围1~10240000,单位为字节,缺省值为10240。此属性只对PPP、Portal、IPoE和无线lan-access用户生效。
session-group-profile session-group-profile-name:指定用户的授权Session Group Profile。其中,session-group-profile-name为Session Group Profile名称,为1~31个字符的字符串,区分大小写。用户在认证前,若被授权认证域,则其访问行为将受到该域中的Session Group Profile配置的限制。此属性只对PPP、Portal和IPoE用户生效。
user-group user-group-name:表示用户所属用户组。其中,user-group-name表示用户组名,为1~32个字符的字符串,不区分大小写。用户认证成功后,将继承该用户组中的所有属性。
【使用指导】
用户上线后,设备会周期性检测用户的流量,若域内某用户在指定的闲置检测时间内产生的流量小于本命令中指定的数据流量,则会被强制下线。需要注意的是,服务器上也可以配置最大空闲时间实现对用户的闲置切断功能,具体为当用户在指定的闲置检测时间内产生的流量小于10240个字节(服务器上该阈值为固定值,不可配置)时,会被强制下线。但是,只有在设备上的闲置切断功能处于关闭状态时,服务器才会根据自身的配置来控制用户的闲置切断。
如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权属性,则系统使用当前ISP下指定的授权属性为用户授权。
需要注意的是,可通过多次执行本命令配置多个授权属性,但对于相同授权属性,最后一次执行的命令生效。
【举例】
# 指定ISP域test下的用户闲置切断时间为30分钟,闲置切断时间内产生的流量为10240字节。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization-attribute idle-cut 30 10240
【相关命令】
· display domain
display domain命令用来显示所有或指定ISP域的配置信息。
【命令】
display domain [ isp-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
如果不指定ISP域,则显示系统中所有ISP域的配置信息。
【举例】
# 显示系统中所有ISP域的配置信息。
<Sysname> display domain
Total 2 domains
Domain: system
State: Active
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out action: Offline
Service type: HSI
Session time: Exclude idle time
Authorization attributes :
Idle cut: Disabled
Default domain name: system
表1-1 display domain命令显示信息描述表
|
字段 |
描述 |
|
Total 2 domains |
总计2个ISP域 |
|
Domain |
ISP域名 |
|
State |
ISP域的状态 |
|
Default authentication scheme |
缺省的认证方案 |
|
Default authorization scheme |
缺省的授权方案 |
|
Default accounting scheme |
缺省的计费方案 |
|
Accounting start failure action |
用户计费开始失败的动作,包括以下取值: · Online:如果用户计费开始失败,则保持用户在线 · Offline:如果用户计费开始失败,则强制用户下线 |
|
Accounting update failure max-times |
允许用户连续计费更新失败的次数 |
|
Accounting update failure action |
用户计费更新失败的动作,包括以下取值: · Online:如果用户计费更新失败,则保持用户在线 · Offline:如果用户计费更新失败,则强制用户下线 |
|
Accounting quota out action |
用户计费流量配额耗尽策略,包括以下取值: · Online:如果用户计费流量配额耗尽,则保持用户在线 · Offline:如果用户计费流量配额耗尽,则强制用户下线 |
|
Service type |
ISP域的业务类型,取值为HSI,STB和VoIP |
|
Session time |
设备上传到服务器的用户在线时间,有以下两种情况: · Include idle time:保留闲置切断时间 · Exclude idle time:扣除闲置切断时间 |
|
Authorization attributes |
ISP的用户授权属性 |
|
Idle-cut |
用户闲置切断功能,包括以下取值: · Enabled:处于开启状态,表示当ISP域中的用户在指定的最大闲置切断时间内产生的流量小于指定的最小数据流量时,会被强制下线。 · Disabled:处于关闭状态,表示不对用户进行闲置切断控制,它为缺省状态 |
domain default enable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域。
undo domain default enable命令用来恢复缺省情况。
【命令】
domain default enable isp-name
undo domain default enable
【缺省情况】
存在一个系统缺省的ISP域,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,且必须已经存在。
【使用指导】
系统中只能存在一个缺省的ISP域。
配置为缺省的ISP域不能被删除。如需删除一个系统缺省ISP域,请先使用undo domain default enable命令将其恢复为非缺省的ISP域。
【举例】
# 创建一个新的ISP域test,并设置为系统缺省的ISP域。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] quit
[Sysname] domain default enable test
【相关命令】
· display domain
· domain
domain if-unknown命令用来为未知域名的用户指定ISP域。
undo domain if-unknown命令用来恢复缺省情况。
【命令】
domain if-unknown isp-domain-name
undo domain if-unknown
【缺省情况】
没有为未知域名的用户指定ISP域。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
isp-domain-name:ISP域名。为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|” 、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指导】
设备将按照如下先后顺序选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中,仅部分接入模块支持指定认证域。
如果根据以上原则决定的认证域在设备上不存在,但设备上为未知域名的用户指定了ISP域,则最终使用该指定的ISP域认证,否则,用户将无法认证。
【举例】
# 为未知域名的用户指定ISP域为test。
<Sysname> system-view
[Sysname] domain if-unknown test
【相关命令】
· display domain
service-type命令用来设置当前ISP域的业务类型。
undo service-type命令用来恢复缺省情况。
【命令】
service-type { hsi | stb | voip }
undo service-type
【缺省情况】
当前ISP域的业务类型为hsi。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hsi:表示高速上网业务。
stb:表示数字机顶盒接入业务。
voip:表示VoIP业务。
【使用指导】
本命令用来配置当前认证域的用户使用的业务类型,用来决定接入模块是否开启组播功能。
用户使用HSI业务类型的ISP域接入时,接入模块不会开启组播功能,可节省系统资源。
用户使用STB业务类型的ISP域接入时,接入模块会开启组播功能,可提高系统处理组播业务的性能。
用户使用VoIP业务类型的ISP域接入时,QoS功能会开启保证用户语音数据的低延迟传送。
【举例】
# 设置域test下用户业务类型为STB终端业务。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] service-type stb
session-time include-idle-time命令用来配置设备上传到服务器的用户在线时间中保留闲置切断时间。
undo session-time include-idle-time命令用来恢复缺省情况。
【命令】
session-time include-idle-time
undo session-time include-idle-time
【缺省情况】
设备上传到服务器的用户在线时间中扣除闲置切断时间。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【使用指导】
请根据实际的计费策略决定是否在用户在线时间中保留该闲置切换时间。
当用户正常下线时,设备上传到服务器上的用户在线时间为实际在线时间;当用户异常下线时,上传到服务器的用户在线时间具体如下:
· 若配置为保留闲置切断时间,则上传到服务器上的用户在线时间中包含了一定的闲置切断检测间隔或用户在线探测间隔(该在线探测机制目前仅Portal认证支持)。此时,服务器上记录的用户时长将大于用户实际在线时长。
· 若配置为扣除闲置切断时间,则上传到服务器上的用户在线时间为,闲置切断检测机制(或用户在线探测机制)计算出的用户已在线时长扣除掉一个闲置切断检测间隔(或一个用户在线探测间隔)。此时,服务器上记录的用户时长将小于用户实际在线时长。
【举例】
#在ISP域test下,配置设备上传到服务器的用户在线时间中保留闲置切断时间。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test]session-time include-idle-time
【相关命令】
· display domain
state命令用来设置当前ISP域的状态。
undo state命令用来恢复缺省情况。
【命令】
state { active | block }
undo state
【缺省情况】
当前ISP域处于活动状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
active:指定当前ISP域处于活动状态,即系统允许该域下的用户请求网络服务。
block:指定当前ISP域处于阻塞状态,即系统不允许该域下的用户请求网络服务。
【使用指导】
当某个ISP域处于阻塞状态时,将不允许该域下的用户请求网络服务,但不影响已经在线的用户。
【举例】
# 设置当前ISP域test处于阻塞状态。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] state block
【相关命令】
· display domain
user-address-type命令用来设置当前ISP域的用户地址类型。
undo user-address-type命令用来恢复缺省情况。
【命令】
user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 }
undo user-address-type
【缺省情况】
未指定当前ISP域的用户地址类型。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
ds-lite:表示当前用户的地址类型为轻量级双栈地址。
ipv6:表示当前用户的地址类型为IPv6地址。
nat64:表示当前用户的地址类型为NAT64地址。
private-ds:表示当前用户的地址类型为私网双栈地址。
private-ipv4:表示当前用户的地址类型为私网IPv4地址。
public-ds:表示当前用户的地址类型为公网双栈地址。
public-ipv4:表示当前用户的地址类型为公网IPv4地址。
【使用指导】
当更改当前ISP域的用户地址类型时,不影响已经在线的用户。
【举例】
# 设置当前ISP域用户地址类型为私网双栈地址。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] user-address-type private-ds
【相关命令】
· display domain
access-limit命令用来设置使用当前本地用户名接入设备的最大用户数。
undo access-limit命令用来恢复缺省情况。
【命令】
access-limit max-user-number
undo access-limit
【缺省情况】
不限制使用当前本地用户名接入的用户数。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
max-user-number:表示使用当前本地用户名接入设备的最大用户数,取值范围为1~1024。
【使用指导】
本地用户视图下的access-limit命令只在该用户采用了本地计费方法的情况下生效。
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制。
【举例】
# 允许同时以本地用户名abc在线的用户数为5。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-manage-abc] access-limit 5
【相关命令】
· display local-user
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute { acl acl-number | ip ipv4-address | ip-pool ipv4-pool-name | ipv6 ipv6-address | ipv6-pool ipv6-pool-name | session-timeout minutes | user-role role-name | work-directory directory-name } *
undo authorization-attribute { acl | ip | ip-pool | ipv6 | ipv6-pool | user-role role-name | work-directory } *
【缺省情况】
授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。由用户角色为network-admin或level-15的用户创建的本地用户被授权用户角色network-operator。
【视图】
本地用户视图/用户组视图
【缺省用户角色】
network-admin
【参数】
acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。本地用户认证成功后,将被授权仅可以访问符合指定ACL规则的网络资源。
ip ipv4-address:指定本地用户的静态IP地址。本地用户认证成功后,将允许使用该IP地址。
ip-pool ipv4-pool-name:指定本地用户的IPv4地址池信息。本地用户认证成功后,将允许使用该IPv4地址池分配地址。其中,ipv4-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。
ipv6 ipv6-address:指定本地用户的静态IPv6地址。本地用户认证成功后,将允许使用该IPv6地址。
ipv6-pool ipv6-pool-name:指定本地用户的IPv6地址池信息。本地用户认证成功后,将允许使用该IPv6地址池分配地址。其中,ipv6-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。
session-timeout minutes:设置本地用户的会话超时时间。其中,minutes为设定的会话超时时间,取值范围为1~1440,单位为分钟。如果用户在线时长超过该值,设备会强制该用户下线。
user-role role-name:指定本地用户的授权用户角色。其中,role-name表示用户角色名称,为1~63个字符的字符串,区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置,不能在本地用户组视图下配置。
work-directory directory-name:授权FTP/SFTP/SCP用户可以访问的目录。其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在。缺省情况下,FTP/SFTP/SCP用户可访问设备的根目录,可通过本参数来修改用户可以访问的目录。
【使用指导】
可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性:
· 对于lan-access用户,仅授权属性acl、idle-cut、session-timeout有效。
· 对于telnet、terminal用户,仅授权属性user-role和work-directory有效;
· 对于ftp用户,仅授权属性user-role和work-directory有效;
· 对于其它类型的本地用户,所有授权属性均无效。
用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。
本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。
为了避免设备上进行主备倒换后FTP/SFTP/SCP用户无法正常登录,建议用户在指定工作目录时不要携带槽位信息。主备倒换特性以及FTP/SFTP/SCP类型用户的支持情况与设备的型号有关,请以设备的实际情况为准。
为确保本地用户仅使用本命令指定的授权用户角色,请先使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。
被授权安全日志管理员的本地用户登录设备后,仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令,具体命令可通过display role name security-audit命令查看。安全日志文件管理相关命令的介绍,请参见“网络管理与监控”中的“信息中心”。文件系统管理相关命令的介绍,请参见“基础配置命令参考”中的“文件系统管理”。
为本地用户授权安全日志管理员角色时,需要注意的是:
· 安全日志管理员角色和其它用户角色互斥:
¡ 为一个用户授权安全日志管理员角色时,系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色;
¡ 如果已经授权当前用户安全日志管理员角色,再授权其它的用户角色时,系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色。
· 系统中的最后一个安全日志管理员角色的本地用户不可被删除。
【举例】
# 配置设备管理类本地用户xyz的授权用户角色为security-audit(安全日志管理员)。
<Sysname> system-view
[Sysname] local-user xyz class manage
[Sysname-luser-manage-xyz]authorization-attribute user-role security-audit
This operation will delete all other roles of the user. Are you sure? [Y/N]:y
【相关命令】
· display local-user
· display user-group
bind-attribute命令用来设置用户的绑定属性。
undo bind-attribute命令用来删除指定的用户绑定属性。
【命令】
bind-attribute { location interface interface-type interface-number | mac mac-address | vlan vlan-id } *
undo bind-attribute { call-number | ip | location | mac | vlan } *
【缺省情况】
未设置用户的绑定属性。
【视图】
本地用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
location interface interface-type interface-number:指定用户绑定的接口。其中interface-type interface-number表示接口类型和接口编号。如果用户接入的接口与此处绑定的接口不一致,则认证失败。该绑定属性仅适用于lan-access类型的用户。
mac mac-address:指定用户的MAC地址。其中,mac-address为H-H-H格式。该绑定属性仅适用于lan-access类型的用户。
【使用指导】
设备对用户进行本地认证时,会检查用户的实际属性与配置的绑定属性是否一致,如果不一致或用户未携带该绑定属性则认证失败。
绑定属性的检测不区分用户的接入服务类型,因此在配置绑定属性时要考虑某接入类型的用户是否需要绑定某些属性。
【举例】
# 配置网络接入类本地用户abc的绑定MAC为3333-3333-3333。
<Sysname> system-view
[Sysname] local-user abc class network
[Sysname-luser-network-abc] bind-attribute mac 3333-3333-3333
【相关命令】
· display local-user
company命令用来配置本地来宾用户所属公司。
undo company命令用来恢复缺省情况。
【命令】
company company-name
undo company
【缺省情况】
未配置本地来宾用户所属公司。
【视图】
本地来宾用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
company-name:本地来宾用户所属公司名称,为1~255个字符的字符串,区分大小写。
【举例】
# 配置本地来宾用户abc所属的公司名称为yyy。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] company yyy
【相关命令】
· display local-user
description命令用来配置网络接入类本地用户本地用户的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置网络接入类本地用户的描述信息。
【视图】
网络接入类本地用户视图
【缺省用户角色】
network-admin
【参数】
text:网络接入类本地用户的描述信息,为1~255个字符的字符串,区分大小写。
【举例】
# 配置本地来宾用户abc的描述信息为Manager of MSC company。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] description Manager of MSC company
# 配置网络接入类本地用户123的描述信息为Manager of MSC company。
<Sysname> system-view
[Sysname] local-user 123 class network
[Sysname-luser-network-123] description Manager of MSC company
【相关命令】
· display local-user
display local-guest waiting-approval命令用来显示待审批来宾用户注册信息。
【命令】
display local-guest waiting-approval [ user-name user-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
user-name user-name:来宾用户名称,为1~55个字符的字符串,区分大小写,不能携带域名。若不指定该参数,则表示所有来宾用户。
【使用指导】
来宾可以通过Web页面注册为本地来宾用户,由来宾管理员对注册信息进行审批并补充用户信息,审批同意后,设备上将会创建相应的本地来宾用户,来宾可使用该用户接入访问网络。来宾管理员通过display命令可查询待审批来宾用户的注册信息。
【举例】
# 显示所有待审批来宾用户的注册信息。
<Sysname> display local-guest waiting-approval
Total 1 guest users matched.
Guest user Smith:
Full name : Smith Li
Company : YYY
Email : [email protected]
Phone : 139189301033
Description: The employee of YYY company
表1-2 display local-user-guest waiting-approval命令显示信息描述表
|
字段 |
描述 |
|
Total 1 guest users matched. |
总计有1个来宾用户信息匹配 |
|
Full name |
来宾用户的的姓名全称 |
|
Company |
来宾用户的的公司名称 |
|
|
来宾用户的的Email地址 |
|
Phone |
来宾用户的的电话 |
|
Description |
来宾用户的的描述信息 |
【相关命令】
· reset local-guest waiting-approval
display local-user命令用来显示本地用户的配置信息和在线用户数的统计信息。
【命令】
display local-user [ class { manage | network [ guest ] } | idle-cut { disable | enable } | service-type { ftp | lan-access | telnet | terminal } | state { active | block } | user-name user-name class { manage | network [ guest ] } | ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
class:显示指定用户类别的本地用户信息。
· manage:设备管理类用户。
· network:网络接入类用户。
· guest:来宾用户。
idle-cut { disable | enable }:显示开启或关闭闲置切断功能的本地用户信息。其中,disable表示未启用闲置切断功能的本地用户;enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户。
service-type:显示指定用户类型的本地用户信息。
· ftp:FTP用户。
· lan-access:lan-access类型用户。
· telnet:Telnet用户。
· terminal:从CON口登录的终端用户。
state { active | block }:显示处于指定状态的本地用户信息。其中,active表示用户处于活动状态,即系统允许该用户请求网络服务;block表示用户处于阻塞状态,即系统不允许用户请求网络服务。
user-name user-name:显示指定用户名的本地用户信息。其中,user-name表示本地用户名,为1~55个字符的字符串,区分大小写,不能携带域名。
【使用指导】
如果不指定任何参数,则显示所有本地用户信息。
【举例】
# 显示所有本地用户的相关信息。
<Sysname> display local-user
Device management user root:
State: Active
Service type: Telnet/Terminal
Access limit: Enabled Max access number: 3
Current access number: 1
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-admin
Network access user jj:
State: Active
Service type: Lan-access
User group: system
Bind attributes:
Location bound: GigabitEthernet1/0/1
MAC address: 0001-0001-0001
Authorization attributes:
Idle timeout: 33 minutes
Work directory: flash:
ACL number: 2000
User role list: network-operator, level-0, level-3
Network access guest user user1:
State: Active
Service type: LAN access/Portal
User group: guest1
Full name: Jack
Company: cc
Email: [email protected]
Phone: 131129237
Description: A guest from company cc
Sponsor full name: Sam
Sponsor department: security
Sponsor email: [email protected]
Period of validity::
Start date and time: 2015/04/01-08:00:00
Expiration date and time:2015/04/03-18:00:00
Total 3 local users matched.
表1-3 display local-user命令显示信息描述表
|
字段 |
描述 |
|
State |
本地用户状态 · Active:活动状态 · Block:阻塞状态 |
|
Service type |
本地用户使用的服务类型,取值包括FTP、Lan-access、Telnet、Terminal |
|
Access limit |
是否对使用该用户名的接入用户数进行限制 |
|
Max access number |
最大接入用户数 |
|
Current access number |
使用该用户名的当前接入用户数 |
|
User group |
本地用户所属的用户组 |
|
Bind attributes |
本地用户的绑定属性 |
|
Location bound |
本地用户绑定的端口 |
|
MAC address |
本地用户的MAC地址 |
|
Authorization attributes |
本地用户的授权属性 |
|
Idle timeout |
本地用户闲置切断时间(单位为分钟) |
|
Session-timeout |
本地用户会话超时时间(单位为分钟) |
|
Work directory |
FTP/SFTP/SCP用户可以访问的目录 |
|
ACL number |
本地用户授权ACL |
|
User role list |
本地用户的授权用户角色列表 |
|
IP address |
本地用户的授权IPv4地址 |
|
IPv6 address |
本地用户的授权IPv6地址 |
|
IP pool |
本地用户的授权IPv4地址池 |
|
IPv6 pool |
本地用户的授权IPv6地址池 |
|
Full name |
本地来宾用户的姓名 |
|
Company |
本地来宾用户的公司 |
|
|
本地来宾用户的Email地址 |
|
Phone |
本地来宾用户的电话号码 |
|
Description |
本地来宾用户的描述信息 |
|
Sponsor full name |
本地来宾用户接待人的姓名 |
|
Sponsor department |
本地来宾用户接待人所属部门 |
|
Sponsor email |
本地来宾用户接待人的Email地址 |
|
Period of validity |
本地来宾用户有效期 |
|
Start date and time |
本地来宾用户开始生效的日期和时间 |
|
Expiration date and time |
本地来宾用户的失效的日期和时间 |
|
Total 2 local users matched. |
总计有2个本地用户匹配 |
display user-group命令用来显示用户组的相关配置。
【命令】
display user-group { all | name group-name }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有用户组的配置信息。
name group-name:显示指定用户组的配置。group-name表示用户组名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
若不指定用户组名称,则显示所有用户组的相关配置。
【举例】
# 显示所有用户组的相关配置。
<Sysname> display user-group all
Total 2 user groups matched.
User group: system
Authorization attributes:
Work directory: flash:
User group: jj
Authorization attributes:
Idle timeout: 2 minutes
Work directory: flash:/
ACL number: 2000
表1-4 display user-group命令显示信息描述表
|
字段 |
描述 |
|
Total 2 user groups matched. |
总计有2个用户组匹配 |
|
Authorization attributes |
授权属性信息 |
|
Idle timeout |
闲置切断时间(单位:分钟) |
|
Session-timeout |
本地用户会话超时时间(单位:分钟) |
|
Work directory |
FTP/SFTP/SCP用户可以访问的目录 |
|
ACL number |
授权ACL号 |
|
IP pool |
授权IPv4地址池 |
|
IPv6 pool |
授权IPv6地址池 |
email命令用来配置本地来宾用户的邮箱地址。
undo email命令用来恢复缺省情况。
【命令】
email email-string
undo email
【缺省情况】
未配置本地来宾用户的邮箱地址。
【视图】
本地来宾用户视图
【缺省用户角色】
network-admin
【参数】
email-string:本地来宾用户的Email地址,为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如[email protected]。
【使用指导】
设备可以通过本命令配置的Email地址给来宾用户发送通知邮件。
【举例】
# 配置本地来宾用户abc的Email地址为[email protected]。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] email [email protected]
【相关命令】
· display local-user
full-name命令用来配置本地来宾用户的姓名。
undo full-name命令用来恢复缺省情况。
【命令】
full-name name-string
undo full-name
【缺省情况】
未配置本地来宾用户的姓名。
【视图】
本地来宾用户视图
【缺省用户角色】
network-admin
【参数】
name-string:本地来宾用户的姓名,为1~255个字符的字符串,区分大小写。
【举例】
# 配置本地来宾用户abc的姓名为abc Snow。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] full-name abc Snow
【相关命令】
· display local-user
group命令用来设置本地用户所属的用户组。
undo group命令用来恢复缺省配置。
【命令】
group group-name
undo group
【缺省情况】
本地用户属于用户组system。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【举例】
# 设置设备管理类本地用户111所属的用户组为abc。
<Sysname> system-view
[Sysname] local-user 111 class manage
[Sysname-luser-manage-111] group abc
【相关命令】
· display local-user
local-guest auto-delete enable用来开启来宾用户过期自动删除功能。
undo local-guest auto-delete enable用来恢复缺省情况。
【命令】
local-guest auto-delete enable
undo local-guest auto-delete enable
【缺省情况】
来宾用户过期自动删除功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
来宾用户过期自动删除功能处于开启状态时,设备会在来宾用户有效期结束后自动删除用户。
【举例】
# 开启来宾用户过期自动删除功能。
<Sysname> system-view
[Sysname] local-guest auto-delete enable
【相关命令】
· validity-datatime
local-guest email format命令用来配置本地来宾用户的邮件格式。
undo local-guest email format命令用来删除指定的本地来宾用户的邮件格式。
【命令】
local-guest email format to { guest | manager | sponsor } { body body-string | subject sub-string }
undo local-guest email format to { guest | manager | sponsor } { body | subject }
【缺省情况】
未配置本地来宾用户的邮件格式。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
to:指定邮件的收件人。
· guest:表示来宾用户。
· manager:表示来宾管理员。
· sponsor:表示来宾接待人。
· body body-string:邮件的内容,为1~255个字符的字符串,区分大小写。
· subject sub-string:邮件的标题,为1~127个字符的字符串,区分大小写。
【使用指导】
在本地来宾用户注册、创建过程中,设备需要向不同角色的用户发送通知邮件,邮件的格式通过本命令设置,例如,本地来宾用户通过Web页面完成帐户注册之后,设备会向来宾管理员发送该用户的审批申请邮件;本地来宾用户创建之后,设备会向本地来宾用户或来宾接待人邮箱发送注册成功通知邮件。
可对不同的收件人指定不同的邮件格式。同一类收件人的邮件格式只能存在一种配置,后配置的将覆盖已有配置。
必须同时配置收件人的邮件标题和内容,否则设备不会给该收件人发送邮件。
【举例】
# 配置发送给来宾用户的邮件标题为Guest account information,邮件内容为A guest account has been created for your use. The username, password, and valid dates for the account are given below.
<Sysname> system-view
[Sysname] local-guest email format to guest subject Guest account information
[Sysname] local-guest email format to guest body A guest account has been created for your use. The username, password, and valid dates for the account are given below.
【相关命令】
· local-guest email sender
· local-guest email smtp-server
· local-guest manager-email
· local-guest send-email
local-guest email sender命令用来配置本地来宾用户的发件人Email地址。
undo local-guest email sender命令用来恢复缺省情况。
【命令】
local-guest email sender email-address
undo local-guest email sender
【缺省情况】
未配置本地来宾用户的发件人Email地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
email-address:邮件发件人Email地址,为1~255个字符的字符串,不区分大小写。
【使用指导】
未配置发件人Email地址的情况下,设备无法向任何收件人发送关于本地来宾用户的通知邮件。
只能存在一个本地来宾用户的发件人Email地址。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置本地来宾用户的发件人Email地址为[email protected]。
<Sysname> system-view
[Sysname] local-guest email sender [email protected]
【相关命令】
· local-guest email format
· local-guest email smtp-server
· local-guest manager-email
· local-guest send-email
local-guest email smtp-server命令用来配置为本地来宾用户发送Email使用的SMTP服务器。
undo local-guest send-email smtp-server命令用来恢复缺省情况。
【命令】
local-guest email smtp-server url-string
undo local-guest email smtp-server
【缺省情况】
未配置为本地来宾用户发送Email使用的SMTP服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
url-string:STMP服务器的URL,为1~255个字符的字符串,不区分大小写,符合标准SMTP协议规范,以smtp://开头。
【使用指导】
只能存在一个为本地来宾用户发送Email使用的SMTP服务器。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置为本地来宾用户发送Email使用的SMTP服务器URL为smtp://www.test.com/smtp。
<Sysname> system-view
[Sysname] local-guest email smtp-server smtp://www.test.com/smtp
【相关命令】
· local-guest email format
· local-guest email sender
· local-guest manager-email
· local-guest send-email
local-guest generate命令用来批量创建本地来宾用户。
【命令】
local-guest generate username-prefix name-prefix [ password-prefix password-prefix ] suffix suffix-number [ group group-name ] count user-count validity-datetime start-date start-time to expiration-date expiration-time
【视图】
【缺省用户角色】
【参数】
username-prefix name-prefix:用户名前缀,为1~45个字符的字符串,区分大小写,不能含有字符\、\、|、/、:、*、?、<、>或@。
password-prefix password-prefix:明文密码前缀,为1~53个字符的字符串,区分大小写。
suffix suffix-string:用户名和密码的编号后缀,为1~10个数字的字符串。
group group-name:用户所属用户组名,为1~32个字符的字符串,区分大小写。若不指定该参数,则表示用户属于systme组。
count user-count:批量创建用户的数量,取值范围1~256。
validity-datetime:用户有效期。
start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将start-time参数设置为0表示零点。
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将expiration-time参数设置为0表示零点。
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
【使用指导】
批量创建的本地来宾用户名由指定的用户名前缀和编号后缀组合而成,且每创建一个用户,用户名编号后缀递增1。例如,当用户名前缀为abc,编号后缀为1,生成用户数量为3时,生成当用户名为abc1、abc2和abc3。如果指定了密码前缀,则批量创建当本地来宾用户密码由密码前缀和编号后缀组合而成,且为明文密码,否则由系统随机生成用户密码。
如果申请创建的本地来宾用户数量过多,导致资源不足时,部分本地来宾用户的批量创建将会失败。
如果批量创建的本地来宾用户与设备上已有的本地来宾用户重名,则批量创建的用户会覆盖已有的同名用户。
【举例】
# 批量创建20个本地来宾用户,用户名从abc01递增到abc20,属于用户组visit,有效期为2014/10/01 00:00:00到2015/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-guest generate username-prefix abc suffix 01 group visit count 20 validity-datetime 2014/10/01 00:00:00 to 2015/10/02 12:00:00
【相关命令】
· local-user
· display local-user
local-guest manager-email命令用来配置来宾管理员的Email地址。
undo local-guest manager-email命令用来恢复缺省情况。
【命令】
local-guest manager-email email-address
undo local-guest manager-email
【缺省情况】
未配置来宾管理员的Email地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
email-address:来宾管理员的Email地址,为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如[email protected]。
【使用指导】
本地在来宾用户通过Web页面完成帐户注册之后,设备会向来宾管理员邮箱发送该用户的审批申请邮件。
只能存在一个来宾管理员的Email地址。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置来宾管理员的Email地址为[email protected]。
<Sysname> system-view
[Sysname] local-guest manager-email [email protected]
【相关命令】
· local-guest email format
· local-guest email sender
· local-guest email smtp-server
· local-guest send-email
local-guest send-email命令用来配置向本地来宾用户邮箱和来宾接待人邮箱发送邮件。
【命令】
local-guest send-email user-name user-name to { guest | sponsor }
【视图】
用户视图/系统视图
【缺省用户角色】
network-admin
【参数】
user-name user-name:本地来宾用户的用户名,为1~55个字符的字符串,区分大小写,不能携带ISP域名。
to:指定邮件的收件人。
· guest:本地来宾用户。
· sponsor:来宾接待人。
【使用指导】
当本地来宾用户创建之后,来宾管理员可通过此命令将用户的密码及有效期信息发送到本地来宾用户或来宾接待人邮箱中。
【举例】
# 向本地来宾用户abc的邮箱发送有关该用户帐号信息的通知邮件。
<Sysname> system-view
[Sysname] local-guest send-email user-name abc to guest
【相关命令】
· sponsor-email
local-guest timer命令用来配置本地来宾用户的等待审批超时定时器。
【命令】
local-guest timer waiting-approval time-value
undo local-guest timer waiting-approval
【缺省情况】
本地来宾用户的等待审批超时定时器值为24小时。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time-value:本地来宾用户等待审批的超时时间,取值范围为1~720,单位为小时。
【使用指导】
当一个来宾用户在Web页面上完成帐户注册之后,设备会为其开启一个来宾注册信息等待审批超时定时器,若在该定时器设置的时长内来宾管理员没有对其注册信息进行审批,则设备将删除该来宾注册信息。
【举例】
# 配置本地来宾用户的等待审批超时定时器的值为12小时。
<Sysname> system-view
[Sysname] local-guest timer waiting-approval 12
local-user命令用来添加本地用户,并进入本地用户视图。如果指定的本地用户已经存在,则直接进入本地用户视图。
undo local-user命令用来删除指定的本地用户。
【命令】
local-user user-name [ class { manage | network [ guest ] } ]
undo local-user { user-name class { manage | network } | all [ service-type { ftp | lan-access | telnet | terminal } | class { manage | network [ guest ] } ] }
【缺省情况】
不存在本地用户。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
user-name:表示本地用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
class:指定本地用户的类别。若不指定本参数,则表示设备管理类用户。
· manage:设备管理类用户,用于登录设备,对设备进行配置和监控。此类用户可以提供ftp、telnet、terminal服务。
· network:网络接入类用户,用于通过设备接入网络,访问网络资源。
· guest:网络接入类来宾用户,仅在有效期内能通过设备接入网络。
all:所有的用户。
service-type:指定用户的类型。
· ftp:表示FTP类型用户。
· lan-access:表示lan-access类型用户(主要指以太网接入用户,比如802.1X用户)。
· telnet:表示Telnet用户。
· terminal:表示从Console口登录的终端用户。
【举例】
# 添加名称为user1的设备管理类本地用户。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1]
# 添加名称为user2的网络接入类本地用户。
<Sysname> system-view
[Sysname] local-user user2 class network
[Sysname-luser-network-user2]
# 添加名称为user3的网络接入类本地来宾用户。
<Sysname> system-view
[Sysname] local-user user3 class network guest
[Sysname-luser-network(guest)-user3]
【相关命令】
· display local-user
· service-type
local-user-export命令用来从设备导出本地来宾用户信息到指定路径的CSV文件。
【命令】
local-user-export class network guest url url-string
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
class:指定本地用户的类别。
network:网络接入类用户。
guest:本地来宾用户。
url url-string:保存本地用户信息文件的URL,为1~255个字符的字符串,不区分大小写。
【使用指导】
导出的CSV文件可直接或在编辑之后通过local-user-import命令导入到本设备或其它支持该命令的设备上使用,但文件内容必须符合该命令的要求。
本命令支持TFTP和FTP两种文件上传方式,具体的URL格式要求如下:
· TFTP协议URL格式:tftp://server/path/filename,server为TFTP服务器IP地址或主机名,例如tftp://1.1.1.1/user/user.csv。
· FTP协议URL格式:
¡ 携带用户名和密码的格式为ftp://username:password@server/path/filename。其中,username为FTP用户名,password为FTP认证密码,server为FTP服务器IP地址或主机名,例如ftp://1:[email protected]/user/user.csv。如果FTP用户名中携带域名,则该域名会被设备忽略,例如ftp://1@abc:[email protected]/user/user.csv将被当作ftp://1:[email protected]/user/user.csv处理。
¡ 不需要携带用户名和密码的格式为ftp://server/path/filename,例如ftp://1.1.1.1/user/user.csv。
【举例】
# 导出本地来宾用户信息到ftp://1.1.1.1/user/路径的guest.csv文件中。
<Sysname> system-view
[Sysname] local-user-export class network guest ftp://1.1.1.1/user/guest.csv
【相关命令】
· local-user-import
local-user-import命令用来从指定路径的文件中导入用户信息并创建本地用户。
【命令】
local-user-import class network guest url url-string validity-datetime start-date start-time to expiration-date expiration-time [ auto-create-group | override | start-line line-number ] *
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
class:指定本地用户的类别。
network:网络接入类用户。
guest:本地来宾用户。
url url-string:要导入用户信息文件的URL,为1~255个字符的字符串,不区分大小写。
validity-datetime:指定用户的有效期。
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将time参数设置为0表示零点。
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将time参数设置为0表示零点。
auto-create-group:表示当设备上不存在用户所属的用户组时,系统会自动创建用户组,并将用户加入该用户组。若不指定该参数,则表示当设备上不存在用户所属的用户组时,系统不会创建对应的用户组。
override:表示当导入的用户名已经存在于设备上时,系统使用导入的用户信息覆盖掉已有的同名用户配置。若不指定该参数,则表示不导入文件中的同名用户信息,即保留设备上已有的同名用户配置。
start-line line-number:表示从文件的指定行开始导入用户信息。line-number为文件内容的行编号。若不指定该参数,则表示导入文件中的所有用户信息。
【使用指导】
用于导入的CSV文件中包含多个用户信息,每个用户的各项字段严格按照以下顺序出现:
· Username:用户名,不支持字符\、|、/、:、*、?、<、>、@。若用户名中包含非法字符,则导入并创建该用户失败,且后续用户的导入操作将会中止。该字段必须存在。
· Password:用户密码。若该字段为空,则导入时系统会生成一个随机密码。
· User group:所属用户组,用于本地授权。若该字段为空,则表示属于system组。
· Guest full name:来宾用户姓名。
· Guest company:来宾用户公司。
· Guest email:来宾用户Email地址。
· Guest phone:来宾用户电话号码。
· Guest description:来宾用户描述信息。
· Sponsor full name:接待人姓名。
· Sponsor department:接待人部门。
· Sponsor email:接待人Email地址。
CSV文件中的不同用户信息之间用回车换行分隔,且每项信息之间以逗号分隔。如果某项信息中包含逗号,则必须在该条信息两端加引号。例如:Jack,abc,visit,Jack Chen,ETP,[email protected],1399899,”The manager of ETP, come from TP.”,Sam Wang,Ministry of personnel,[email protected]
本命令支持TFTP和FTP两种文件下载方式,具体的文件URL格式要求如下:
· TFTP协议URL格式:tftp://server/path/filename,server为FTP服务器IP地址或主机名,例如tftp://1.1.1.1/user/user.csv。
· FTP协议URL格式:
¡ 携带用户名和密码的格式为ftp://username:password@server/path/filename。其中,username为FTP用户名,password为FTP认证密码,server为FTP服务器IP地址或主机名,例如ftp://1:[email protected]/user/user.csv。如果FTP用户名中携带域名,则该域名会被设备忽略,例如ftp://1@abc:[email protected]/user/user.csv将被当作ftp://1:[email protected]/user/user.csv处理。
¡ 不需要携带用户名和密码的格式为ftp://path/filename,例如ftp://1.1.1.1/user/user.csv。
【举例】
# 从ftp://1.1.1.1/user/guest.csv路径中导入本地来宾用户信息,用户的有效期为2014/10/01 00:00:00到2014/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-user-import class network guest url ftp://1.1.1.1/user/guest.csv validity-datetime 2014/10/01 00:00:00 to 2014/10/02 12:00:00
【相关命令】
· local-user-export
· display local-user
password命令用来设置本地用户的密码。
undo password命令用来恢复缺省情况。
【命令】
password [ { cipher | hash | simple } string ]
undo password
【缺省情况】
不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
cipher:表示以密文方式设置密码。
hash:表示以哈希方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串;密文密码为1~117个字符的字符串。
【使用指导】
如果不指定任何参数,则表示以交互式设置明文形式的密码。该方式仅设备管理类本地用户支持。
可以不为本地用户设置密码。若不为本地用户设置密码,则该用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。为提高用户帐户的安全性,建议设置本地用户密码。
【举例】
# 设置设备管理类本地用户user1的密码为明文123456TESTplat&!。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
# 以交互式方式设置设备管理类本地用户test的密码。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] password
Password:
Confirm :
# 设置网络接入类本地用户user2的密码为明文123456TESTuser&!。
<Sysname> system-view
[Sysname] local-user user1 class network
[Sysname-luser-network-user1] password simple 123456TESTuser&!
【相关命令】
· display local-user
phone命令用来配置本地来宾用户的电话号码。
undo phone命令用来恢复缺省情况。
【命令】
phone phone-number
undo phone
【缺省情况】
未配置本地来宾用户电话号码。
【视图】
本地来宾用户视图
【缺省用户角色】
network-admin
【参数】
phone-number:本地来宾用户的电话号码,为1~32个字符的字符串,只能包含数字和-。
【举例】
# 配置本地来宾用户abc的电话号码为138-137239201。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] phone 138-137239201
【相关命令】
· display local-user
reset local-guest waiting-approval命令用来清除待审批的来宾用户注册信息。
【命令】
reset local-guest waiting-approval [ user-name user-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
user-name user-name:来宾用户名称,为1~55个字符的字符串,区分大小写,不能携带域名。若不指定该参数,则表示所有来宾用户。
【举例】
# 清除所有待审批的来宾用户注册信息。
<Sysname> reset local-guest waiting-approval
【相关命令】
· display local-guest waiting-approval
service-type命令用来设置用户可以使用的服务类型。
undo service-type命令用来删除用户可以使用的服务类型。
【命令】
service-type { ftp | lan-access | { telnet | terminal } * }
undo service-type { ftp | lan-access | { telnet | terminal } * }
【缺省情况】
系统不对用户授权任何服务,即用户不能使用任何服务。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
ftp:指定用户可以使用FTP服务。若授权FTP服务,缺省授权FTP用户可访问设备的根目录,授权目录可以通过authorization-attribute work-directory命令来修改。
lan-access:指定用户可以使用lan-access服务。主要指以太网接入,比如用户可以通过802.1X认证接入。该参数支持情况与设备的型号有关,请以设备的实际情况为准。
telnet:指定用户可以使用Telnet服务。
terminal:指定用户可以使用terminal服务(即从Console口登录)。
【使用指导】
可以通过多次执行本命令,设置用户可以使用多种服务类型。
【举例】
# 指定设备管理类用户可以使用Telnet服务和FTP服务。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] service-type telnet
[Sysname-luser-manage-user1] service-type ftp
【相关命令】
· display local-user
sponsor-department命令用来配置本地来宾用户接待人所属部门。
undo sponsor-department命令用来恢复缺省情况。
【命令】
sponsor-department department-string
undo sponsor-department
【缺省情况】
未配置本地来宾用户接待人所属部门。
【视图】
【缺省用户角色】
network-admin
【参数】
department-string:本地来宾用户接待人所属部门名称,为1~127个字符的字符串,区分大小写。
【举例】
# 配置本地来宾用户abc的接待人所属部门为test。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] sponsor-department test
【相关命令】
· display local-user
sponsor-email命令用来配置本地来宾用户接待人的Email地址。
undo sponsor-email命令用来恢复缺省情况。
【命令】
sponsor-email email-string
undo sponsor-email
【缺省情况】
未配置本地来宾用户接待人的Email地址。
【视图】
本地来宾用户视图
【缺省用户角色】
network-admin
【参数】
email-string:本地来宾接待人的Email地址,为按照RFC 822定义的1~255个字符的字符串,区分大小写。
【举例】
# 配置本地来宾用户abc的接待人Email地址为[email protected]。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] sponsor-email [email protected]
【相关命令】
· display local-user
sponsor-full-name命令用来配置本地来宾用户的接待人姓名。
undo sponsor-full-name命令用来恢复缺省情况。
【命令】
undo sponsor-full-name
【缺省情况】
未配置本地来宾用户的接待人姓名。
【视图】
本地来宾用户视图
【缺省用户角色】
network-admin
【参数】
name-string:本地来宾用户接待人姓名,为1~255个字符的字符串,区分大小写。
【举例】
# 配置本地来宾用户abc的接待人姓名为Sam Li。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] sponsor-full-name Sam Li
【相关命令】
· display local-user
state命令用来设置当前本地用户的状态。
undo state命令用来恢复缺省情况。
【命令】
state { active | block }
undo state
【缺省情况】
本地用户处于活动状态。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务。
block:指定当前本地用户处于“阻塞”状态,即系统不允许当前本地用户请求网络服务。
【使用指导】
本命令仅对当前用户生效,不影响其它用户。
【举例】
# 设置设备管理类本地用户user1处于“阻塞”状态。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] state block
【相关命令】
· display local-user
user-group命令用来创建用户组,并进入用户组视图。如果指定的用户组已经存在,则直接进入用户组视图。
undo user-group命令用来删除指定的用户组。
【命令】
user-group group-name
undo user-group group-name
【缺省情况】
存在一个用户组,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
用户组是一个本地用户的集合,某些需要集中管理的属性可在用户组中统一配置和管理。
不允许使用undo user-group删除一个包含本地用户的用户组。
不能删除系统中存在的默认用户组system,但可以修改该用户组的配置。
【举例】
# 创建名称为abc的用户组并进入其视图。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc]
【相关命令】
· display user-group
validity-datetime命令用来配置本地来宾用户的有效期。
undo validity-datetime命令用来恢复缺省情况。
【命令】
validity-datetime start-date start-time to expiration-date expiration-time
undo validity-datetime
【缺省情况】
未限制本地来宾用户的有效期,该用户始终有效。
【视图】
本地来宾用户视图
【缺省用户角色】
network-admin
【参数】
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将start-time参数设置为0表示零点。
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将expiration-time参数设置为0表示零点。
【使用指导】
本地来宾用户有效期的结束时间必须晚于起始时间。
本地来宾用户在有效期内才能认证成功。
【举例】
# 配置本地来宾用户abc的有效期为2014/10/01 00:00:00到2015/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] validity-datetime 2014/10/01 00:00:00 to 2015/10/02 12:00:00
【相关命令】
· display local-user
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
