- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-用户身份识别和管理命令
本章节下载: 07-用户身份识别和管理命令 (271.24 KB)
1.1.3 display user-identity active-user-group
1.1.4 display user-identity all
1.1.5 display user-identity online-user
1.1.6 display user-identity restful-server
1.1.7 display user-identity user-import-policy
1.1.10 reset user-identity dynamic-online-user
1.1.11 reset user-identity user-account
1.1.12 reset user-identity user-group
1.1.16 user-identity online-user import policy
1.1.17 user-identity online-user-name-match
1.1.18 user-identity restful-server
1.1.19 user-identity static-user
1.1.20 user-identity user-account auto-import policy
1.1.21 user-identity user-account export url
1.1.22 user-identity user-account import policy
1.1.23 user-identity user-account import url
1.1.24 user-identity user-import-policy
account-update-interval命令用来配置自动导入身份识别用户账户的周期。
undo account-update-interval命令用来恢复缺省情况。
【命令】
account-update-interval interval
undo account-update-interval
【缺省情况】
自动导入身份识别用户账户的周期为24小时。
【视图】
身份识别用户导入策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
interval:表示导入身份识别用户账户的周期,取值范围为1~65536,单位为小时。
【使用指导】
身份识别用户导入策略处于开启状态时,设备将以本命令指定的周期从服务器上导入所有身份识别用户账户,使得设备与服务器上的账户信息定期保持一致。
【举例】
# 在身份识别用户导入策略policy1中,配置自动导入身份识别用户账户的周期为12小时。
<Sysname> system-view
[Sysname] user-identity user-import-policy policy1
[Sysname-identity-user-impt-policy-policy1] account-update-interval 12
【相关命令】
· user-identity user-account auto-import policy
display user-identity命令用来显示指定的身份识别用户或身份识别用户组。
【命令】
display user-identity { domain domain-name | null-domain } { user [ user-name [ group ] ] | user-group [ group-name [ member { group | user } ] ] }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
domain domain-name:表示身份识别域的名称,为1~255个字符的字符串,不区分大小写。
null-domain:表示未加入任何身份识别域的身份识别用户或身份识别用户组。
user:显示身份识别用户信息。
user-name:身份识别用户名,为1~55个字符的字符串,区分大小写。若不指定该参数,则表示显示所有身份识别用户组的信息。
group:显示用户所属用户组。若不指定该参数,则不显示用户组信息。
user-group:显示身份识别用户组信息。
group-name:用户组名,为1~32个字符的字符串,不区分大小写。若不指定该参数,则表示显示所有身份识别用户组的配置信息。
member:显示身份识别的成员信息。若不指定该参数,则不显示成员信息。
group:用户组成员。
user:用户成员。
【使用指导】
本命令显示的身份识别用户或身份识别用户组信息,包括从本地用户数据库学习的和从CSV文件、服务器导入的身份识别用户账户以及身份识别用户组的信息。
【举例】
# 显示system域下所有身份识别用户组的信息。
<Sysname> display user-identity domain system user-group
Identity domain: system
Group ID Group name
0x888 abc
0x123 gp1
Total 2 records matched.
# 显示system域下身份识别用户组abc的信息。
<Sysname> display user-identity domain system user-group abc
Identity domain: system
Group ID Group name
0x888 abc
Total 1 records matched.
# 显示system域下身份识别用户组abc中的用户成员信息。
<Sysname> display user-identity domain system user-group abc member user
Identity domain: system
User ID Username
0x234 user1
0xffffffff user2
Total 2 records matched.
# 显示system域下身份识别用户组abc中的用户组成员信息。
<Sysname> display user-identity domain system user-group abc member group
Identity domain: system
Group ID Group name
0x567 group1
0x111 group2
Total 2 records matched.
# 显示system域下所有身份识别用户的信息。
<Sysname> display user-identity domain system user
Identity domain: system
User ID Username
0x234 user1
0xffffffff user2
Total 2 records matched.
# 显示system域下身份识别用户user1的信息。
<Sysname> display user-identity domain system user user1
Identity domain: system
User ID Username
0x234 user1
Total 1 records matched.
# 显示system域下身份识别用户user1的用户组信息。
<Sysname> display user-identity domain system user user1 group
Identity domain: system
Group ID Group name
0x888 abc
0x123 gp1
Total 2 records matched.
# 显示未加入任何身份识别域的身份识别用户信息。
<Sysname> display user-identity domain null-domain user
Identity domain: null-domain
User ID Username
0x1 test
0x3 jj
0x2 abc
Total 3 records matched.
表1-1 display user-identity domain命令显示信息描述表
|
字段 |
描述 |
|
Identity domain |
身份识别用户或身份识别用户组所属身份识别域的名称 若用户或用户组不属于任何身份识别域,则不显示该字段 |
|
Username |
用户名 |
|
User ID |
用户ID |
|
Group name |
用户组名 |
|
Group ID |
用户组ID |
|
Total n records matched |
匹配的用户或用户组数目 |
【相关命令】
· reset user-identity user-account
· reset user-identity user-group
display user-identity active-user-group命令用来显示激活的身份识别用户组。
【命令】
display user-identity active-user-group { all | domain domain-name | null-domain }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
all:显示所有身份识别域下的激活用户组。
domain domain-name:显示指定身份识别域下的激活用户组。domain-name表示身份识别域的名称,为1~255个字符的字符串,不区分大小写。
null-domain:显示未加入任何身份识别域的激活用户组。
【使用指导】
当身份识别用户组被对象策略等安全特性引用之后,若该引用配置生效,则该用户组将处于激活状态。只有身份识别用户组处于激活状态时,该用户组才能在基于用户身份的访问控制过程中生效。
【举例】
# 显示身份识别域system下的激活的身份识别用户组信息。
<Sysname> display user-identity active-user-group domain system
Identity domain: system
Group ID Group name
0x888 abc
0x123 gp1
Total 2 records matched.
表1-2 display user-identity active-user-group命令显示信息描述表
|
字段 |
描述 |
|
Identity domain |
身份识别用户组所属的身份识别域名 若用户不属于任何身份识别域,则不显示该字段 |
|
Group ID |
身份识别用户组的ID |
|
Group name |
身份识别用户组名 |
|
Total n records matched |
匹配的用户组数目 |
【相关命令】
· reset user-identity user-group
display user-identity all命令用来显示所有身份识别用户或身份识别用户组。
【命令】
display user-identity all { user | user-group }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
user:显示身份识别用户信息。
user-group:显示身份识别用户组信息。
【使用指导】
本命令显示的身份识别用户或身份识别用户组信息,包括从本地用户数据库学习的和从CSV文件以及第三方服务器导入的身份识别用户账户及身份识别用户组的信息。
【举例】
# 显示所有身份识别用户信息。
<Sysname> display user-identity all user
Identity domain: system
User ID Username
0x121 test1
0x123 test2
Identity domain: 11
User ID Username
0x888 test3
0x899 test4
Total 4 records matched.
表1-3 display user-identity all user命令显示信息描述表
|
字段 |
描述 |
|
Identity domain |
身份识别用户所属身份识别域的名称 若用户不属于任何身份识别域,则不显示该字段 |
|
User ID |
用户ID |
|
Username |
用户名 |
|
Total n records matched |
匹配的用户数目 |
# 显示所有身份识别用户组。
<Sysname> display user-identity all user-group
Identity domain: system
Group ID Group name
0x888 abc
0x123 gp1
Identity domain: 11
Group ID Group name
0x255 001
0x256 002
Total 4 records matched.
表1-4 display user-identity all user-group命令显示信息描述表
|
字段 |
描述 |
|
Identity domain |
身份识别用户组所属身份识别域的名称 若用户组不属于任何身份识别域,则不显示该字段 |
|
Group ID |
用户组ID |
|
Group name |
用户组 |
|
Total n records matched |
匹配的用户组数目 |
【相关命令】
· reset user-identity user-account
· reset user-identity user-group
display user-identity online-user命令用来显示在线身份识别用户。
【命令】
display user-identity online-user { domain domain-name | null-domain } name user-name
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
domain domain-name:指定在线身份识别用户所属的身份识别域。domain-name表示身份识别域名,为1~255个字符的字符串,不区分大小写。
null-domain:表示未加入任何身份识别域的在线身份识别用户。
name user-name:指定在线身份识别用户的用户名。user-name表示用户名,为1~55个字符的字符串,区分大小写,不能携带域名。
【使用指导】
在线身份识别用户包括两类:由静态配置生成的静态在线身份识别用户,以及由设备动态生成的动态在线身份识别用户。
【举例】
# 显示system域下名称为user1的在线身份识别用户信息。
<Sysname> display user-identity online-user domain system name user1
Username: user1
Identity domain: system
IP : 199.199.0.15
MAC : 0001-0002-0003
Type: Static
Total 1 records matched.
表1-5 display user-identity online-user命令显示信息描述表
|
字段 |
描述 |
|
Username |
身份识别用户的名称 |
|
Identity domain |
身份识别用户所属的身份识别域 若用户不属于任何身份识别域,则不显示该字段 |
|
IP |
身份识别用户的IP地址 |
|
MAC |
身份识别用户的MAC地址 若没有获取到MAC地址信息,则不显示该字段 |
|
Type |
身份识别用户的类型,包括以下取值: · Static:静态在线身份识别用户 · Dynamic:动态在线身份识别用户 |
|
Total n records matched |
匹配的用户数目 |
【相关命令】
· reset user-identity dynamic-online-user
· user-identity static-user
display user-identity restful-server命令用来显示RESTful服务器配置。
【命令】
display user-identity restful-server [ server-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
server-name:表示RESTful服务器的名称,为1~31个字符的字符串,不区分大小写。如果不指定本参数,则表示显示所有RESTful服务器的配置信息。
【举例】
# 显示RESTful服务器rest1的配置。
<Sysname> display user-identity restful-server rest1
RESTful server name: rest1
Login name: u1
Get User URI: http://1.1.1.1:8080/imcrs/ssm/imcuser/accessUser
Get User Group URI: http://1.1.1.1:8080/imcrs/ssm/imcuser/accessUserGroup
Get Online User URI: http://1.1.1.1:8080/imcrs/ssm/imcuser/onlineUser
Put Online User URI: http://1.1.1.1:8080/imcrs/ssm/imcuser/uploadOnlineUser
Put Offline User URI: http://1.1.1.1:8080/imcrs/ssm/imcuser/uploadOfflineUser
表1-6 display user-identity restful-server命令显示信息描述表
|
字段 |
描述 |
|
Login name |
连接到RESTful服务器所需的用户名 |
|
Get User URI |
请求用户账户信息的URI |
|
Get User Group URI |
请求用户组信息的URI |
|
Get Online User URI |
请求在线用户信息的URI |
|
Put Online User URI |
上传在线用户信息的URI |
|
Put Offline User URI |
上传下线用户信息的URI |
【相关命令】
· login-name
· uri
· user-identity restful-server
display user-identity user-import-policy命令用来显示身份识别用户导入策略。
【命令】
display user-identity user-import-policy [ policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
policy-name:表示身份识别用户导入策略名,为1~31个字符的字符串,不区分大小写。若不指定该参数,则显示所有的身份识别用户导入策略。
【举例】
# 显示身份识别用户导入策略policy1的配置信息。
<Sysname> display user-identity user-import-policy policy1
Policy name: policy1
Interval time: 24 hours
RESTful server name:
ser1
LDAP scheme name:
ldap-scheme
Total 1 records matched.
表1-7 display user-identity user-import-policy命令显示信息描述表
|
字段 |
描述 |
|
Policy name |
身份识别用户导入策略名称 |
|
Interval time |
自动导入身份识别用户账户的周期,单位为小时 |
|
RESTful server name |
RESTful服务器名称 |
|
LDAP scheme name |
LDAP方案名称 |
|
Total n records matched |
匹配的策略数目 |
【相关命令】
· user-identity user-import-policy
ldap-scheme命令用来指定LDAP方案。
undo ldap-scheme命令用来删除LDAP方案。
【命令】
ldap-scheme ldap-scheme-name
undo ldap-scheme ldap-scheme-name
【缺省情况】
未指定LDAP方案。
【视图】
身份识别用户导入策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
ldap-scheme-name:LDAP方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
指定的LDAP方案中定义了LDAP服务器的相关参数,用户可以通过执行user-identity user-account import policy命令从该方案定义的LDAP服务器上导入身份识别用户账户信息。但是,系统不支持从LDAP服务器上导入在线身份识别用户信息。
最多可以指定16个LDAP方案。
【举例】
# 在身份识别用户导入策略policy1中,指定名称为ser2的LDAP方案。
<Sysname> system-view
[Sysname] user-identity user-import-policy policy1
[Sysname-identity-user-impt-policy-policy1] ldap-scheme ser2
【相关命令】
· display user-identity user-import-policy
· ldap scheme(安全命令参考/AAA)
login-name命令用来配置登录到RESTful服务器所需的用户名和密码。
undo login-name命令用来恢复缺省情况。
【命令】
login-name user-name password { cipher | simple } string
undo login-name
【缺省情况】
未配置登录到RESTful服务器所需的用户名和密码。
【视图】
RESTful服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-name:表示用户名,为1~55字符的字符串,区分大小写。
password:表示密码。
cipher:表示以密文方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
【使用指导】
设备与RESTful服务器建立连接时,服务器首先需要验证连接请求发起方的合法性。本命令配置的用户名和密码,即为设备向RESTful服务器提供的身份信息。RESTful服务器验证该用户名和密码成功后,才允许连接请求发起方与之建立连接,以及获取相应的服务器资源。
本命令指定的用户名和密码,必须在RESTful服务器上已经存在。
【举例】
# 配置与RESTful服务器rest1建立连接时使用的登录用户名为abc,密码为明文123。
<Sysname> system-view
[Sysname] user-identity restful-server rest1
[Sysname-restfulserver-rest1] login-name abc password simple 123
【相关命令】
· display user-identity restful-server
· user-identity restful-server
reset user-identity dynamic-online-user命令用来删除动态的在线身份识别用户。
【命令】
reset user-identity dynamic-online-user { all | { domain domain-name | null-domain } [ name user-name ] | { ip ipv4-address | ipv6 ipv6-address } [ mac mac-address ] }
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:所有动态的在线身份识别用户信息。
domain domain-name:身份识别用户所属的身份识别域。domain-name表示域名,为1~255个字符的字符串,不区分大小写。
null-domain:未加入任何身份识别域的身份识别用户信息。
name user-name:表示用户名,为1~55个字符的字符串,区分大小写。如果不指定该参数,则表示指定身份识别域或者未加入任何身份识别域的所有在线身份识别用户。
ip ipv4-address:身份识别用户的IPv4地址。
ipv6 ipv6-address:身份识别用户的IPv6地址。
mac mac-address:身份识别用户的MAC地址,格式为H-H-H。若不指定该参数,则表示同一用户名,不同MAC地址的所有在线身份识别用户。
【使用指导】
动态的在线身份识别用户信息是指,设备中动态学习到的在线身份识别用户信息。静态的在线身份识别用户信息是由静态配置产生的,不能通过本命令删除,可以通过执行undo user-identity static-user命令删除。
【举例】
# 删除全部动态在线身份识别用户信息。
<Sysname> reset user-identity dynamic-online-user all
# 删除身份识别域abc下的所有动态在线身份识别用户信息。
<Sysname> reset user-identity dynamic-online-user domain abc
# 删除身份识别域dom1下名称为user1的动态在线身份识别用户信息。
<Sysname> reset user-identity dynamic-online-user domain dom1 name user1
# 删除用户名为user2且未加入任何身份识别域的动态在线身份识别用户信息。
<Sysname> reset user-identity dynamic-online-user null-domain name user2
# 删除IP地址为1.2.3.4的动态在线身份识别用户信息。
<Sysname> reset user-identity dynamic-online-user ip 1.2.3.4
# 删除IP地址为1.2.3.4、MAC地址为2222-3333-4444的动态在线身份识别用户信息。
<Sysname> reset user-identity dynamic-online-user ip 1.2.3.4 mac 2222-3333-4444
【相关命令】
· display user-identity online-user
reset user-identity user-account命令用来删除身份识别用户账户。
【命令】
reset user-identity user-account { all | { domain domain-name | null-domain } [ name user-name ] }
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:所有身份识别用户账户信息。
domain domain-name:表示身份识别域的名称,为1~255个字符的字符串,不区分大小写。
null-domain:未加入任何身份识别域的身份识别用户账户信息。
name user-name:表示身份识别用户的账户名,为1~55个字符的字符串,区分大小写。若不指定该参数,则表示删除所有指定身份识别域的或未加入任何身份识别域的身份识别用户账户。
【使用指导】
此命令用来删除从服务器导入或者从CSV文件导入的身份识别用户账户信息。
从本地用户数据库中学习到的身份识别用户账户不能通过该命令删除。
【举例】
# 删除所有身份识别用户账户信息。
<Sysname> reset user-identity user-account all
# 删除身份识别域dom1下名称为test的身份识别用户账户信息。
<Sysname> reset user-identity user-account domain dom1 name test
【相关命令】
· display user-identity all user
reset user-identity user-group命令用来删除身份识别用户组。
【命令】
reset user-identity user-group { all | { domain domain-name | null-domain } [ name group-name ] }
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:所有身份识别用户组信息。
domain domain-name:表示身份识别域的名称,为1~255个字符的字符串,不区分大小写。
null-domain:未加入任何身份识别域的身份识别用户组。
name group-name:身份识别用户组名,为1~32个字符的字符串,不区分大小写。若不指定该参数,则表示删除所有指定身份识别域的或未加入任何身份识别域的身份识别用户组。
【使用指导】
从本地用户数据库学习到的身份识别用户组不能通过该命令删除。
【举例】
# 删除全部身份识别用户组信息。
<Sysname> reset user-identity user-group all
# 删除身份识别域dom1下名称为g1的身份识别用户组信息。
<Sysname> reset user-identity user-group domain dom1 name g1
【相关命令】
· display user-identity all user-group
restful-server命令用来指定RESTful服务器。
undo restful-server命令用来恢复缺省情况。
【命令】
restful-server server-name
undo restful-server server-name
【缺省情况】
未指定RESTful服务器。
【视图】
身份识别用户导入策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
server-name:RESTful服务器名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
指定的RESTful服务器中定义了RESTful服务器的相关参数,用户可以通过执行user-identity user-account import policy命令从该服务器上导入身份识别用户账户,通过执行user-identity online-user import policy命令从该服务器上导入在线身份识别用户。
最多只能指定一个RESTful服务器。如需指定其它的RESTful服务器,请先通过undo restful-server命令删除已经指定的RESTful服务器。
【举例】
# 在身份识别用户导入策略policy1中,指定名称为ser1的RESTful服务器。
<Sysname> system-view
[Sysname] user-identity user-import-policy policy1
[Sysname-identity-user-impt-policy-policy1] restful-server ser1
【相关命令】
· display user-identity restful-server
· display user-identity user-import-policy
· user-identity restful-server
uri命令用来指定RESTful服务器的URI。
undo uri命令用来删除指定的RESTful服务器URI。
【命令】
uri { get-online-user | get-user-database | get-user-group-database | put-offline-user | put-online-user } uri-string
undo uri { get-online-user | get-user-database | get-user-group-database | put-offline-user | put-online-user }
【缺省情况】
未指定RESTful服务器的URI。
【视图】
RESTful服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
get-online-user:表示请求网络接入类在线用户信息的URI。
get-user-database:表示请求网络接入类用户账户信息的URI。
get-user-group-database:表示请求用户组信息的URI。
put-offline-user:表示上传下线用户信息的URI。
put-online-user:表示上传在线用户信息的URI。
uri-string:URI名称,为1~255字符的字符串,不区分大小写。
【使用指导】
可通过多次执行本命令,指定的不同服务类型的RESTful服务器URI。
本命令指定的URI必须与RESTful服务器上提供各类用户资源服务的URI保持一致,否则将会导致用户信息交互失败。
新增或删除一个在线身份识别用户时,若该用户来源不是指定的RESTful服务器,则设备会将这些上线/下线用户信息上传给RESTful服务器。
【举例】
# 指定向RESTful服务器rest1请求用户配置信息的URI为http://1.1.1.1:8080/imcrs/ssm/imcuser/newpath。
<Sysname> system-view
[Sysname] user-identity restful-server rest1
[Sysname-restfulserver-rest1] uri get-user-database http://1.1.1.1:8080/imcrs/ssm/imcuser/newpath
【相关命令】
· display user-identity restful-server
· user-identity restful-server
user-identity enable命令用来开启用户身份识别功能。
undo user-identity enable命令用来关闭用户身份识别功能。
【命令】
user-identity enable
undo user-identity enable
【缺省情况】
用户身份识别功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启用户身份识别功能后,用户身份识别模块才会与接入模块(包括PPP和Portal)以及应用模块一起联动实现基于用户身份的访问控制。
【举例】
# 开启用户身份识别功能。
<Sysname> system-view
[Sysname] user-identity enable
user-identity online-user import policy命令用来导入服务器上的在线身份识别用户。
【命令】
user-identity online-user import policy policy-name
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:身份识别用户导入策略名,为1~31个字符的字符串,不区分大小写。
【使用指导】
执行该命令后,系统将向身份识别用户导入策略中指定的服务器发起一次连接请求,之后导入服务器上的网络接入类在线用户信息(用户名、身份识别域名、用户组名、IP地址、MAC地址)。
只有用户身份识别功处于开启状态,才能成功执行本命令。
【举例】
# 从名称为policy1的身份识别用户导入策略指定的服务器上导入在线身份识别用户。
<Sysname> system-view
[Sysname] user-identity online-user import policy policy1
Loading...Done.
【相关命令】
· user-identity user-account auto-import policy
· user-identity user-import-policy
user-identity online-user-name-match命令用来配置在线用户身份识别的用户名匹配模式。
undo user-identity online-user-name-match命令用来恢复缺省情况。
【命令】
user-identity online-user-name-match { keep-original | with-domain | without-domain }
undo user-identity online-user-name-match
【缺省情况】
在线用户身份识别的用户名匹配模式为keep-original。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
keep-original:使用用户输入的用户名进行身份识别用户账户匹配。例如,用户的认证域为abc,用户输入的用户名为test@123,则使用用户名test@123进行身份识别用户账户匹配。
with-domain:使用用户的认证域进行身份识别用户账户匹配,即将采用“用户的纯用户名@认证域名”格式进行用户账户匹配。例如,用户的认证域为abc,用户输入的用户名为test@123,则使用用户名test@abc进行身份识别用户账户匹配。
without-domain:不对用户账户的域名进行匹配,即使用用户输入的纯用户名与设备上未加入任何身份识别域的身份识别用户账户进行匹配。例如,用户的认证域为abc,用户输入的用户名为test@123,则使用用户名test与未加入身份识别域的用户账户进行匹配。
【使用指导】
设备创建一条在线身份识别用户表项之前,首先检查该用户是否能够匹配上本地的身份识别用户账户,如果能够匹配上,才会生成对应的在线身份识别用户表项。本命令用来配置设备采用哪种用户名格式去匹配身份识别用户账户。
【举例】
# 配置在线用户身份识别的用户名匹配模式with-domain。
<Sysname> system-view
[Sysname] user-identity online-user-name-match with-domain
user-identity restful-server命令用来创建RESTful服务器,并进入RESTful服务器视图。如果指定的RESTful服务器已经存在,则直接进入RESTful服务器视图。
undo user-identity restful-server命令用来删除指定的RESTful服务器。
【命令】
user-identity restful-server server-name
undo user-identity restful-server server-name
【缺省情况】
不存在RESTful服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
server-name:RESTful服务器的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
RESTful服务器视图用于配置RESTful服务器的相关参数,包括服务器URI和登录用户。
系统中仅能存在一个RESTful服务器。
【举例】
# 创建名称为rest1的RESTful服务器,并进入该服务器视图。
<Sysname> system-view
[Sysname] user-identity restful-server rest1
[Sysname-restfulserver-rest1]
【相关命令】
· display user-identity restful-server
· login-name
· uri
· user-identity user-import-policy
user-identity static-user命令用来配置静态类型的身份识别用户。
undo user-identity static-user命令用来删除指定的静态类型的身份识别用户。
【命令】
user-identity static-user user-name [ domain domain-name ] bind { ipv4 ipv4-address | ipv6 ipv6-address } [ mac mac-address ]
undo user-identity static-user user-name [ domain domain-name ] [ bind { ipv4 ipv4-address | ipv6 ipv6-address } [ mac mac-address ] ]
【缺省情况】
不存在静态类型的身份识别用户。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-name:静态类型的身份识别用户名,为1~55个字符的字符串,区分大小写。
domain domain-name:指定用户所属的身份识别域。domain-name表示身份识别域的名称,为1~255个字符的字符串,不区分大小写。若不指定该参数,则表示用户不属于任何身份识别域。
bind:指定与该用户名绑定的IP地址属性。若undo命令中不指定该参数,则表示使用该用户名的所有用户。
ipv4 ipv4-address:指定用户的IPv4地址。ipv4-address不能为全0地址、全1地址以及组播IP地址。
ipv6 ipv6-address:指定用户的IPv6地址。ipv6-address不能为全0地址、组播地址、环回地址以及链路本地地址。
mac mac-address:指定用户的MAC地址,格式为H-H-H。若不指定该参数,则表示不限制该IP地址用户的MAC地址。
【使用指导】
通常,一个网络接入用户必须在完成身份认证且其认证属性(用户名、身份识别域名、IP地址)被用户身份识别模块学习到的情况下,才能在安全特性的管理下访问网络资源。当管理员允许某些用户不需要通过认证,也能够在相关安全特性的管理下访问网络时,就可以通过本命令将这类用户手工添加为身份识别用户。
可以通过多次执行本命令添加多个静态类型的身份识别用户。
一个用户名可以绑定多个IP地址或者多个IP地址和MAC地址的组合,但同一个IP地址或者IP地址和MAC地址的组合不能被多个用户名绑定。
配置的静态类型的身份识别用户,只有在用户身份识别功能处于开启状态,且能够匹配上本地身份识别用户账户的情况下,才能生成对应的静态在线身份识别用户。
【举例】
# 配置一个静态类型的身份识别用户:用户名为test,身份识别域为dom1,绑定的IP地址为109.15.0.15。
<Sysname> system-view
[Sysname] user-identity static-user test domain dom1 bind ipv4 109.15.0.15
【相关配置】
· display user-identity online-user
· user-identity enable
user-identity user-account auto-import policy命令用来开启身份识别用户账户自动导入功能。
undo user-identity user-account auto-import policy命令用来关闭身份识别用户账户自动导入功能。
【命令】
user-identity user-account auto-import policy policy-name
undo user-identity user-account auto-import policy policy-name
【缺省情况】
身份识别用户自动账户导入功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:身份识别用户导入策略名,为1~31个字符的字符串,不区分大小写。
【使用指导】
开启指定策略的身份识别用户账户自动导入功能后,身份识别模块首先会从该策略指定的服务器上导入所有身份识别用户账户信息和所有在线身份识别用户信息,然后定期从该服务器上自动导入身份识别用户账户信息(导入周期由account-update-interval命令配置)。
需要注意的是,成功导入在线身份识别用户信息的前提是,用户身份识别功能处于开启状态(通过user-identity enable命令配置)。
【举例】
# 开启策略policy1的身份识别用户账户自动导入功能。
<Sysname> system-view
[Sysname] user-identity user-account auto-import policy policy1
【相关命令】
· account-update-interval
· user-identity user-import-policy
user-identity user-account export url命令用来将身份识别用户账户导出到CSV文件。
【命令】
user-identity user-account export url url-string [ { domain domain-name | null-domain } [ user user-name ] | template ]
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
url-string:URL,为1~255字符的字符串,不区分大小写。
domain domain-name:身份识别域的名称,为1~255个字符的字符串,不区分大小写。
null-domain:表示导出未加入身份识别域的所有身份识别用户账户信息。
user user-name:身份识别用户账户名,为1~55个字符的字符串,区分大小写。若不指定该参数,则表示指定条件下的所有身份识别用户账户。
template:表示导出一个标准的CSV文件模板。用户可根据此模板编辑符合设备要求的CSV文件用于导入身份识别用户。
【使用指导】
身份识别用户账户信息导出时必须以CSV格式保存,即保存的文件扩展名为csv。
若不指定任何参数,则表示将设备上的所有身份识别用户账户信息导出到一个CSV文件。
本命令支持TFTP和FTP两种文件上传方式,具体的URL格式要求如下:
· TFTP协议URL格式:tftp://server/path/filename,server为TFTP服务器IP地址或主机名,例如tftp://1.1.1.1/user/user.csv。
· FTP协议URL格式:
¡ 携带用户名和密码的格式为ftp://username:password@server/path/filename。其中,username为FTP用户名,password为FTP认证密码,server为FTP服务器IP地址或主机名,例如ftp://1:1@1.1.1.1/user/user.csv。如果FTP用户名中携带域名,则该域名会被设备忽略,例如ftp://1@abc:1@1.1.1.1/user/user.csv将被当作ftp://1:1@1.1.11/user/user.csv处理。
¡ 不需要携带用户名和密码的格式为ftp://server/path/filename,例如ftp://1.1.1.1/user/user.csv。
¡ FTP协议URL字符串中的用户名或密码携带表表1-8中的特殊字符时,需要按照对应的输入格式输入才能正常执行操作。
|
特殊字符 |
输入格式 |
|
\ |
\\ |
|
" |
\" |
|
/ |
%2F |
|
: |
%3A |
|
@ |
%40 |
【举例】
# 将身份识别域dom1中的所有身份识别用户账户信息导出到CSV文件中,文件保存路径为tftp://1.1.1.1/user.csv。
<Sysname> system-view
[Sysname] user-identity user-account export url tftp://1.1.1.1/user.csv domain dom1
【相关命令】
· user-identity user-account import url
user-identity user-account import policy命令用来导入服务器上的身份识别用户账户。
【命令】
user-identity user-account import policy policy-name
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:身份识别用户导入策略名,为1~31个字符的字符串,不区分大小写。
【使用指导】
执行该命令后,系统将立即向身份识别用户导入策略中指定的服务器发起请求,并导入服务器上的所有身份识别用户账户信息。
【举例】
# 从名称为policy1的身份识别用户导入策略指定的服务器上导入身份识别用户账户。
<Sysname> system-view
[Sysname] user-identity user-account import policy policy1
【相关命令】
· user-identity user-import-policy
user-identity user-account import url命令用来从CSV文件中导入身份识别用户账户。
【命令】
user-identity user-account import url url-string [ auto-create-group | override | start-line line-number ] *
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
url-string:要导入的CSV文件的URL,为1~255个字符的字符串,不区分大小写。
auto-create-group:表示当设备上不存在身份识别用户账户所属的身份识别用户组时,系统会自动创建该身份识别用户组。若不指定该参数,则表示当设备上不存在该身份识别用户组时,系统不会创建该身份识别用户组。
override:表示当导入的身份识别用户账户已经存在于设备上时,系统使用导入的身份识别用户账户覆盖掉已有的同名身份识别用户账户。若不指定该参数,则表示不导入文件中的同名身份识别用户账户信息,即保留设备上原有的同名身份识别用户账户信息。
start-line line-number:表示从CSV文件的指定行开始导入身份识别用户账户。line-number为文件内容的行编号,取值范围为1~1048576。若不指定该参数,则表示从文件中第一行开始导入。
【使用指导】
导入文件必须是CSV格式,即文件扩展名为csv。
可以通过user-identity user-account export url命令导出符合导入要求的CSV文件模板。
【举例】
# 从ftp://1.1.1.1/newpath路径的user.csv文件中导入身份识别用户账户信息,且从该文件的第二行开始导入。
<Sysname> system-view
[Sysname] user-identity user-account import url ftp://1.1.1.1/newpath/user.csv start-line 2
【相关命令】
· user-identity user-account export url
user-identity user-import-policy命令用来创建身份识别用户导入策略,并进入身份识别用户导入策略视图。如果指定的身份识别用户导入策略已经存在,则直接进入身份识别用户导入策略视图。
undo user-identity user-import-policy命令用来删除指定的身份识别用户导入策略。
【命令】
user-identity user-import-policy policy-name
undo user-identity user-import-policy policy-name
【缺省情况】
不存在身份识别用户导入策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:策略名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
身份识别用户导入策略用于配置用户身份识别模块从服务器上导入身份识别用户信息的策略,可导入的用户信息包括身份识别用户账户信息和在线身份识别用户信息。目前,系统支持的服务器为H3C iMC服务器和LDAP服务器。
系统中仅能存在一个身份识别用户导入策略。如需配置其它身份识别用户导入策略,请先通过undo user-identity user-import-policy命令删除已有的身份识别用户导入策略。
【举例】
# 创建名称为policy1的身份识别用户导入策略,并进入该策略视图。
<Sysname> system-view
[Sysname] user-identity user-import-policy policy1
[Sysname-identity-user-impt-policy-policy1]
【相关命令】
· display user-identity user-import-policy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
