03-对象

01-用户管理

用户管理

本帮助主要介绍以下内容：

特性简介

本地用户

所谓本地用户，是指在本地设备上设置的一组用户属性的集合。该集合以用户名作为用户的唯一标识。本地用户供通过设备访问网络服务的用户使用。

当选择使用本地认证、本地授权、本地计费方法对用户进行认证、授权或计费时，应在设备上创建本地用户并配置相关属性。

用户属性

为使某个请求网络服务的用户可以通过本地认证，需要在设备上的本地用户数据库中添加相应的表项。具体步骤是，在用户页面单击<新建>按钮，进入“新建用户”页面，然后在“新建用户”页面配置相应的用户属性，可配置的用户属性包括：

· 授权用户组

每一个本地用户都属于一个本地用户组，并继承组中的所有属性（密码管理属性和用户授权属性）。

· 可用服务

可用服务是用户可使用的网络服务类型。该属性是本地认证的检测项，如果没有用户可以使用的服务类型，则该用户无法通过认证。

支持的服务类型包括：IPoE、IKE、Lan接入、Portal、PPP、ADVPN、SSL VPN，不同设备支持的服务类型不同，请以设备的实际情况为准。

· 同时在线最大用户数

使用当前用户名接入设备的最大用户数目。若当前该用户名的接入用户数已达最大值，则使用该用户名的新用户将被禁止接入。

· 授权属性

用户认证通过后，接入设备给用户下发授权属性。由于可配置的授权属性都有其明确的使用环境和用途，因此配置授权属性时要考虑该用户是否需要某些属性。

· 绑定属性

用户认证时需要检测的属性，用于限制接入用户的范围。若用户的实际属性与设置的绑定属性不匹配，则不能通过认证，因此在配置绑定属性时要考虑该用户是否需要绑定某些属性。可绑定的属性包括：用户接入的接口、用户的MAC地址和用户所属的VLAN等。

用户组

为了简化本地用户的配置，增强本地用户的可管理性，引入了用户组的概念。用户组是一个本地用户属性的集合，某些需要集中管理的属性可在用户组中统一配置和管理，用户组内的所有本地用户都可以继承这些属性。目前，用户组中可以管理的用户属性为授权属性。

每个新增的本地用户都默认属于一个系统自动创建的用户组system，且继承该组的所有属性。

身份识别用户

通过用户身份识别与管理功能，设备可以将网络流量的IP地址识别为用户，并基于用户进行网络访问控制和网络权限分配。该功能具有以下优点：

· 基于用户进行其他业务策略的制定，可提高策略的易用性。

· 基于用户进行网络攻击行为以及流量的统计和分析，可实现对用户网络访问行为的追踪审计。

· 解决了用户IP地址动态变化带来的策略控制问题，即以不变的用户应对变化的IP地址。

身份识别用户

身份识别用户用于存储和管理不同来源的网络接入用户身份信息，包括用户名、用户组名以及所属身份识别域名。设备上，不同来源的身份识别用户被身份识别模块统一管理。

目前，支持以下方式生成身份识别用户：

· 手动创建：管理员手动创建网络接入类本地用户，并配置用户属性。

身份识别用户组

在用户身份识别业务中，可以将用户加入到组中进行批量配置和层级式管理，这样的组称为身份识别用户组。设备上，不同来源的身份识别用户组被用户身份识别模块统一管理。

目前，支持以下方式生成身份识别用户组：

· 手动创建：管理员手动创建用户组，并配置公共用户属性。

基于用户组的管理架构

设备上的所有身份识别用户按树形结构组织，每一个身份识别用户隶属于一个或多个身份识别用户组，每个身份识别用户组也可以隶属于一个更高结构层次的身份识别用户组。这种树形组织结构易于管理员查询、定位，是企业内常用的用户组织方式。网络管理员可以根据企业的组织结构在设备上创建身份识别用户组和身份识别用户，分别对应不同管理级别的部门和员工，如图-1所示：

图-1 基于用户组的管理架构图