- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-用户命令
本章节下载: 05-用户命令 (337.13 KB)
目 录
1.1.14 display user-recognition
1.2.6 user-webauth without-awareness
1.2.7 user-webauth force-timeout
1.2.9 user-webauth keepalive-timeout
1.2.10 user-webauth login-multi
1.2.11 user-webauth login-single
1.2.12 user-webauth traffic-alive
1.2.15 user-sms without-awareness
1.2.20 user-wechat force-concern
1.2.21 user-wechat without-awareness
1.2.25 user-policy user-whitelist
bind ip命令用来绑定地址或地址范围。
no bind ip命令用来删除地址或地址范围绑定。
【命令】
bind ip { address ip-address | range start_ip end_ip }
no bind ip { address ip-address | range start_ip end_ip }
【视图】
用户配置视图
【参数】
ip-address:要绑定的地址。
start-ip:绑定地址范围的起始地址。
end-ip:绑定地址范围的结束地址。
【使用指导】
绑定IP地址可以配置多条,但是条目之间不能有冲突现象;
绑定IP需先使能用户为静态绑定IP用户。
【举例】
# 将用户user1绑定到地址范围1.1.1.1-1.1.1.5。
host# system-view
host(config)# user user1
host(config-user)# bind ip range 1.1.1.1 1.1.1.5
【相关命令】
· display user
bind excludeip命令用来创建绑定地址的排除地址。
no bind exclude ip命令用来删除绑定地址的排除地址。
【命令】
bind exclude ip { address ip-address | range start_ip end_ip }
no bind exclude ip { address ip-address | range start_ip end_ip }
【视图】
用户配置视图
【参数】
ip-address:要排除的地址。
start-ip:排除地址范围的起始地址。
end-ip:排除地址范围的结束地址。
【使用指导】
排除IP地址可以配置多条,但是条目之间不能有冲突现象。
【举例】
# 将用户user1绑定到地址范围1.1.1.1-1.1.1.5,并且排除地址1.1.1.4。
host# system-view
host(config)# user user1
H3C(config-user)# enable bind
host(config-user)# bind ip range 1.1.1.1 1.1.1.5
host(config-user)# bind exclude ip address 1.1.1.4
【相关命令】
· display user
clear user-recognition命令用来清除所有或者某个动态识别出的在线用户信息。
【命令】
clear user-recognition [ name | ip ip-address ]
【视图】
用户视图
【参数】
name:要清除在线用户信息的用户名,为1~63个字符的字符串。
ip-address:要清除在线用户信息的IP地址。
【举例】
# 清除所有动态识别出的在线用户信息。
host# clear user-recognition
description命令用来设置本地用户描述。
no description命令用来清除本地用户描述
【命令】
description text
no description
【缺省情况】
缺省情况下,没有配置本地用户描述。
【视图】
用户配置视图
用户组配置视图
【参数】
text:用户描述信息,为0~127个字符的字符串,特殊字符只能包含“@._-()[]| ”。
【举例】
# 创建用户名为user1的用户,添加描述first user。
host# system-view
host(config)# user user1
host(config-user)# description first user
enable命令用来启用本地用户。
no enable命令用来禁用本地用户。
【命令】
enable
no enable
【缺省情况】
缺省情况下,用户创建后是启用状态。
【视图】
用户配置视图
【举例】
# 禁用用户名为user1的用户。
host# system-view
host(config)# user user1
host(config-user)# no enable
【相关命令】
display user
enable bind命令用来配置用户为绑定用户
no enable bind命令用配置用户为非绑定用户。
【命令】
enable bind
no enable bind
【视图】
用户配置视图
【举例】
# 创建用户名为user1的用户并且设置为绑定用户。
host# system-view
host(config)# user user1
host(config-user)# enable bind
【相关命令】
· display user
bind mac address命令用来绑定MAC地址。
no bind mac address命令用来删除绑定的MAC地址。
【命令】
bind mac address HH:HH:HH:HH:HH:HH
no bind mac address HH:HH:HH:HH:HH:HH
【视图】
用户配置视图
【参数】
HH:HH:HH:HH:HH:HH:绑定的mac地址。
【使用指导】
绑定MAC地址可以配置多条,但是条目之间不能有冲突现象;
绑定mac需先使能用户为静态绑定mac用户。
【举例】
# 将用户user1绑定mac地址00:01:0a:0b:0c:11
host# system-view
host(config)# user user1
host(config-user)# bind mac address 00:01:0a:0b:0c:11
【相关命令】
· display user
enable命令用来启用静态绑定mac用户。
disable命令用来禁用静态绑定mac用户。
【命令】
enable bind mac
disable bind mac
【视图】
用户配置视图
【举例】
# 创建用户名为user1的用户并且设置为静态绑定mac用户。
host# system-view
host(config)# user user1
host(config-user)# enable bind mac
【相关命令】
display user
match user命令用来测试一个用户是否属于一个用户组。
【命令】
match user username
【视图】
用户组配置视图
【参数】
username:要测试的用户名,为1~31个字符的字符串。
【使用指导】
某种情况下,可能用户组会套嵌多层用户组,这样不太好判断一个用户是否属于这个用户组。这个命令可以用来测试使用户是否属于这个用户组。
【举例】
# 测试用user1是否属于用户组group1。
host# system-view
host(config)# user-group group1
host(config-user-group)# match user user1
【相关命令】
· user-group
· member
· display user-group
member命令用来将用户加入用户组。
no member命令用来将用户从用户组删除。
【命令】
member name
no member name
【视图】
用户组配置视图
【参数】
name:要加入组的用户名或用户组名,为1~63个字符的字符串,且不能包含“%!"#$&`*+,/:;<=>?\^'{}!”。
【使用指导】
用户组成员可以是另外一个用户组。
配置用户组加入另外一个用户组时,不要发生循环套嵌。
【举例】
# 将用户user1加入用户组group1。
host# system-view
host(config)# user-group group1
host(config-user-group)# member user1
【相关命令】
· user-group
· match user
· display user-group
display user命令用来显示系统中配置的本地用户。
【命令】
display user [ username ]
【视图】
用户视图
【参数】
username:要显示的用户名,为1~63个字符的字符串,且不能包含“%!"#$&`*+,/:;<=>?\^'{}!”。
【举例】
# 显示系统中配置的所有本地用户。
host# display user
Flags: E--Enabled, F--Frozen-Enabled, A--Authenticate-Need, B--Bind-Address
Name Ref Status Frozen-EndTime Account Bind-Address
any 0 E---
123 0 E-A- [SERVER GROUP]
A 0 E-A- [LOCAL]
user1 1 E---
user2 0 E--B 1.1.1.1-1.1.1.5, 1.1.1.4(e)
user3 0 E---
表1-1 display user命令显示信息描述表
|
字段 |
描述 |
|
|
Name |
本地用户名 |
|
|
Ref |
用户引用计数 |
|
|
Status |
用户状态 |
|
|
E |
用户启用 |
|
|
F |
用户被冻结 |
|
|
A |
是认证用户 |
|
|
B |
是绑定用户 |
|
|
Frozen-EndTime |
冻结结束时间 |
|
|
Account |
用户认证类型 |
|
|
[LOCAL] |
用户是本地认证 |
|
|
[RADIUS] |
用户是RADIUS认证 |
|
|
[LDAP] |
用户是LDAP认证 |
|
|
[SERVER GROUP] |
用户是RADIUS或者LDAP组认证 |
|
|
Bind-Address |
绑定用户的绑定地址 |
|
|
(e) |
表示前边的地址是绑定地址中排除的部分 |
|
# 显示用户名为user1的用户信息。
host# display user user1
Name: user1
Alias:
Description: first user
Reference count: 1
User Status: enabled
表1-2 display user命令显示信息描述表
|
字段 |
描述 |
|
Name |
本地用户命 |
|
Alias |
用户别名 |
|
Description |
用户描述 |
|
Reference count |
引用计数 |
|
User Status |
用户启用状态 |
display user-group命令用来显示用户组。
【命令】
display user-group [ group-name ]
【视图】
用户视图
【参数】
group-name:用户组名,为1~63个字符的字符串,且不能包含“%!"#$&`*+,/:;<=>?\^'{}!”。
【举例】
# 显示系统所有用户组。
host# display user-group
Flags: g--Group
Name Ref Members
anonymous 0
mobile 0
group1 0 user1
表1-3 display user-group命令显示信息描述表
|
字段 |
描述 |
|
Name |
用户组名 |
|
Ref Members |
引用计数 |
|
Members |
用户组内用户成员 |
# 显示用户组group1。
host# display user-group group1
Name: group1
Description:
Reference count: 0
Member count: 1
Entry Members:
user1
表1-4 display user-group group-name命令显示信息描述表
|
字段 |
描述 |
|
Name |
用户组名 |
|
Description |
用户组描述 |
|
Reference count |
引用计数 |
|
Member count |
用户组内成员个数 |
|
Entry Members |
用户组内成员条目 |
display user-param命令用来显示用户识别属性。
【命令】
display user-param
【视图】
用户视图
【举例】
# 显示用户识别属性。
host# display user-param
Address Scope: private[Strict Mode]
Recognition threshold: 60000
Recognition minimum ttl: 120 seconds
Recognition maximum ttl: 1200 seconds
表1-5 display user-param命令显示信息描述表
|
字段 |
描述 |
|
Address Scope |
用户识别范围的地址对象名 |
|
[ mode ] |
用户识别的方式 |
|
Recognition threshold |
可识别用户的个数 |
|
Recognition minimum ttl |
识别老化时间的最小值 |
|
Recognition maximum ttl |
识别老化时间的最大值 |
display user-recognition命令用来显示本地已识别用户。
【命令】
display user-recognition [ user name name | address { host host-ip | range start-ip end-ip | name address-name } ]*
【视图】
用户视图
【参数】
user name:只显示某个用户名的用户。
name:显示的用户名。
address:只显示地址为某种条件的用户。
host:只显示用户地址是某个地址的用户。
host-ip:用户地址。
range:只显示用户地址在某个地址范围内的用户。
start-ip:地址范围开始地址。
end-ip:地址范围结束地址。
name:只显示用户地址在某个地址对象范围内的用户。
address-name:地址对象名。
【举例】
# 显示本地已识别用户。
host# display user-recognition
Address Scope: private[Heuristic Mode]
Recognitions: 32
Name Identity IP MAC Status Online-StartTime Frozen-EndTime
192.168.1.56 anonymous 192.168.1.56 28:d2:44:38:43:0 2014/07/04 11:03
192.168.1.239 anonymous 192.168.1.239 00:23:ff:4b:6c:d1 2014/07/04 10:59
169.254.67.28 anonymous 169.254.67.28 c8:1f:66:f2:53:e6 2014/07/04 10:57
192.168.1.157 anonymous 192.168.1.157 7c:e9:d3:f5:13:d1 2014/07/04 10:50
表1-6 display user-recognition命令显示信息描述表
|
字段 |
描述 |
|
|
Address Scope |
用户识别范围的地址对象名 |
|
|
[ mode ] |
用户识别的方式 |
|
|
Recognitions |
已识别用户个数 |
|
|
Name |
识别的用户名 |
|
|
Identity |
识别用户类型 |
|
|
anonymous |
匿名用户 |
|
|
static |
本地认证/静态绑定用户 |
|
|
mobile |
移动用户 |
|
|
IP |
用户登录地址 |
|
|
MAC |
用户登录mac地址 |
|
|
Status |
用户状态,是否被冻结 |
|
|
Online-StartTime |
用户登录的时间 |
|
|
Frozen-EndTime |
冻结结束时间 |
|
user命令用来创建本地用户。
no user命令用来删除本地用户。
【命令】
user username
no user username
【缺省情况】
缺省情况下,存在一个any用户。
【视图】
系统视图
【参数】
username:用户名,为1~63个字符的字符串,且不能包含“%!"#$&`*+,/:;<=>?\^'{}!”。
【使用指导】
该命令执行完后进入用户配置节点。
【举例】
# 创建用户名为user1的用户。
host# system-view
host(config)# user user1
host(config-user)#
【相关命令】
· display user
· display running-config user
user-group命令用来创建本地用户组。
no user-group命令用来删除本地用户组。
【命令】
user-group groupname
no user-group groupname
【缺省情况】
缺省情况下,存在一个anonymous用户组。
【视图】
系统视图
【参数】
groupname:用户组名,为1~63个字符的字符串,且不能包含“%!"#$&`*+,/:;<=>?\^'{}!”。
【使用指导】
该命令执行完后进入用户组配置节点。
【举例】
# 创建用户名为group1的用户。
host# system-view
host(config)# user-group group1
host(config-user-group)#
【相关命令】
· member
· match user
· display user-group
· display running-config user-group
user-param recognition命令用来修改用户识别属性。
no user-param recognition命令用来恢复用户识别属性。
【命令】
user-param recognition scope address-object { heuristic | strict }
no user-param recognition scope address-object
user-param threshold count
【缺省情况】
缺省情况下,用户识别的范围是地址对象private,方式是强制模式的,识别用户的个数是因设备内存大小不同会有差异。
(1)内存大于等于8G 的规格为60000;
(2)内存大于等于4G而小于8G的规格为40000;
(3)内存小于4G的规格为10000
【视图】
用户配置视图
【参数】
address-object:设置的用户识别的地址对象或者地址组对象名称,为1~31个字符的字符串。
heuristic:启发式识别,。
strict:强制识别。
count:识别用户上限,范围是5000~10000000。
【使用指导】
识别模式分为“启发模式”和“强制模式”两种。
· “启发模式”指的是,优先将属于识别范围的IP地址识别为用户,识别顺序是先识别会话中的源IP,再识别目的IP,如果源目IP都不属于识别范围会将源IP识别为用户。
· “强制模式”指的是,只有源IP或目的IP地址属于识别范围时,才会被识别为用户;否则不识别,该IP地址不进后续用户策略流程,不受用户策略限制,不会出现在在线用户当中。
【举例】
# 将所有私有地址private识别模式改为强制模式。
host# system-view
host(config)# user-param recognition scope private strict
【相关命令】
· display user
user-param auth命令用来启用和配置第三方认证。
no user-param auth命令用来禁用第三方认证。
【命令】
user-param auth { radius | ldap } name
user-param auth { radius | ldap } group name
no user-param auth
【缺省情况】
缺省情况下,第三方认证未开启,且未配置第三方认证服务器。
【视图】
用户配置视图
【参数】
name:第三方认证服务器名称,或者认证服务器组名称。
radius:第三方认证服务器为Radius服务器。
ldap:第三方认证服务器为Ldap服务器。
【使用指导】
第三方认证配置前,需要先在认证服务器配置中配置好Radius或Ldap认证服务器,或服务器组。然后在启用配置第三方认证时选择相应的认证服务器。
【举例】
# 配置第三方认证为Radius认证。
host# system-view
host(config)# radius-server test 192.168.1.103 test
host(config)# user-param auth radius test
【相关命令】
· display running-config user-param
user-param threshold命令用来配置用户识别规格。
【命令】
user-param threshold <5000-10000000>
【缺省情况】
缺省情况下,设备已根据内存大小做了用户识别规格适配,不需要修改此配置。
(1)内存大于等于8G 的规格为60000;
(2)内存大于等于4G而小于8G的规格为40000;
(3)内存小于4G的规格为10000
【视图】
用户配置视图
【参数】
<5000-10000000>:规格最小为5000,最大为10000000。
【使用指导】
设备已根据内存大小做了用户识别规格适配,建议不要修改此配置。
【举例】
# 修改用户识别规格为10000。
host# system-view
host(config)# user-param threshold 10000
【相关命令】
· display user-param
authenticate命令用来配置用户的认证方式。
【命令】
authenticate { local password change-password {enable | disable } | ldap ldap-server | radius radius-server | group group-name }
【缺省情况】
缺省情况下,没有配置用户认证。
【视图】
用户配置视图
【参数】
local:启用本地认证。
password:本地认证的密码,为6~31个字符的字符串。
ldap:启用LDAP认证。
ldap-server:LDAP 的服务器,为1~31个字符的字符串。
radius:启用RADIUS认证。
radius-server:RADIUS的服务器,为1~31个字符的字符串。
group:使用LDAP或者RADIUS服务器组认证。
group-name:服务器组名称,为1-31个字符的字符串。
【使用指导】
认证方式要用no enable authenticate命令删除。
【举例】
# 配置用户user1使用本地认证,密码是123456。
host# system-view
host(config)# user user1
host(config-user)# enable authenticate
host(config-user)# authenticate local 123456 change-password enable
【相关命令】
· enable authenticate
· display user
enable authenticate命令用来启用用户认证。
no enable authenticate命令用来关闭用户认证并且删除认证方式。
【命令】
enable authenticate
no enable authenticate
【视图】
用户配置视图
【使用指导】
使用no enable authenticate会删除已经配置的认证方式。
【举例】
# 为用户user1启用本地认证。
host# system-view
host(config)# user user1
host(config-user)# enable authenticate
【相关命令】
· display user
· authenticate
display user-policy命令用来显示用户策略。
【命令】
display user-policy
【视图】
用户视图
【举例】
# 显示用户策略。
host(config)# display user-policy
---------------------------------------------------------------------------------------
ID In-interface Out-interface Source-address Dest-address Schedul Action
----------------------------------------------------------------------------------------
1 any any any any always local-webauth
表1-7 display user-policy命令显示信息描述表
|
字段 |
描述 |
|
ID |
用户策略的ID号 |
|
In-interface |
匹配流量入接口 |
|
Out-interface |
匹配流量出接口 |
|
Source-address |
匹配流量源地址 |
|
Dest-address |
匹配流量目的地址 |
|
Schedule |
匹配流量时间组 |
|
Action |
匹配的流量的执行动作 |
|
permit |
匹配用户的流量直接放行 |
|
local-webauth |
用户必须通过WEB认证后,流量才可以通过 |
|
portal-server-webauth |
用户必须通过portal认证后,流量才可以通过 |
user-policy命令用来创建用户策略。
no user-policy命令用来删除用户策略。
【命令】
user-policy { if_in | any } { if_out | any } { sip | any } { dip | any } { schedule | always } {free-webauth|sms-webauth|mix-webauth|local-webauth|portal-server-webauth|wechat-webauth|sso-no-authen-ip|sso-match-other } [ id ] [ head | { before | after } [ compare-id ] ]
no user-policy id
【缺省情况】
缺省情况下,没有启用用户策略。
【视图】
系统视图
【参数】
if_in:流量入接口。
any:任何接口。
if_out:流量出接口。
any:任何接口:
sip:源地址匹配的地址对象或对象组。
any:任何源地址。
dip :目的地址匹配的地址对象或对象组。
any:任何目的地址。
schedule :配的时间对象。
always:任何时间。
free-webauth :用户通过免认证方式后,流量才可以放通。
sms-webauth :用户通过短信认证方式后,流量才可以放通。
mix-webauth :通过混合认证方式后,流量才可以放通。
local-webauth:用户必须通过WEB认证后,流量才可以放通。
portal-server-webauth:用户必须通过portal认证后,流量才可以放通。
wechat-webauth:用户必须通过微信认证后,流量才可以放通。
sso-no-authen-ip:用户必须通过单点登录认证后,流量才可以放通,若认证失败直接以IP上线。
sso-match-other:用户必须通过单点登录认证后,流量才可以放通,若认证失败继续匹配策略。
id:给流量指定的id号,范围是1~65535,缺省从1开始自动排列。
head:将用户策略的匹配顺序放到最前面。
before:将用户策略的匹配顺序放到到指定策略之前。
after:将用户策略的匹配顺序放到到指定策略之后。
compare-id:before和after使用时的基准策略id,范围是1~65535。
id:要删除的流量id号,范围是1~65535,。
【使用指导】
用户在策略匹配时有顺序要求,一般按照显示的顺序从上到下匹配。
【举例】
# 创建配置所有通过设备的流量必须通过WEB认证。
host# system-view
host(config)# user-policy any any any any always local-webauth
【相关命令】
· display user-policy
user-policy move命令用来调整用户策略的匹配顺序。
【命令】
user-policy move id { { head | tail } | { before | after } compare-id }
【视图】
系统视图
【参数】
id:给要调整的用户策略id号,范围是1到65535,缺省从1开始自动排列。
head:将用户策略的匹配顺序到放到最前面。
tail:将用户策略的匹配顺序到放到最后面。
before:将用户策略的匹配顺序发到某条策略之前。
after:将用户策略的匹配顺序发到某条策略之后。
compare-id:before和after使用时的基准策略id,范围是1~65535。
【使用指导】
用户策略的匹配时有顺序的,一般按照显示的顺序从上到下匹配。
【举例】
# 将用户策略100调整到用户策略2之后。
host# system-view
host(config)# user-policy move 100 after 2
【相关命令】
· display user-policy
user-webauth without-awareness enable 命令用来开启本地WEB认证无感知功能。
user-webauth without-awareness disable命令用来关闭本地WEB认证无感知功能。
【命令】
user-webauth without-awareness {enable|disable|timeout}
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启无感知功能。
enable:关闭无感知功能。
timeout:无感知功能超时时间,范围是10~144000,单位是分钟,缺省为10080分钟。
【使用指导】
当用户认证登录以后,设备会记录用户的MAC地址,加入无感知表,在超时时间范围内,用户下次再次上线设备先查询无感知表,查询到已记录的MAC后直接认证自动完成认证上线,实现无感知功能。
【举例】
# 开启本地WEB认证无感知功能,并设置无感知功能超时时间为7200分钟。
host# system-view
host(config)# user-webauth without-awareness enable
host(config)# user-webauth without-awareness timeout 7200
user-webauth force-timeout命令用来配置WEB强制重新认证时间。
no user-webauth force-timeout命令用来关闭WEB强制重新认证时间。
【命令】
user-webauth force-timeout timeout
no no user-webauth force-timeout
【缺省情况】
缺省情况下,不启用WEB强制重新认证。
【视图】
系统视图
【参数】
timeout:WEB强制重新认证时间,范围是10~144000,单位是分钟,缺省不启用。
【使用指导】
当用户登录以后,即使用户一直在线,在设定的时间长度之后,也必须重新登录。
【举例】
# 设置WEB强制重新认证时间为60分钟。
host# system-view
host(config)# user-webauth force-timeout 60
user-webauth hello-url 命令用来配置WEB认证重定向URL。
no user-webauth hello-url命令用来关闭WEB认证重定向。
【命令】
user-webauth hello-url url
no user-webauth hello-url
【缺省情况】
缺省情况下,不启用WEB认证重定向。
【视图】
系统视图
【参数】
url:WEB认证重定向的URL地址,为1~127个字符的字符串。
【举例】
# 设置WEB认证重定向到www.abc.com。
host# system-view
host(config)# user-webauth hello-url www.abc.com
user-webauth keepalive-timeout命令用来配置WEB心跳间隔时间。
no user-webauth keepalive-timeout命令用来恢复心跳间隔时间的默认配置。
【命令】
user-webauth keepalive-timeout timeout
no user-webauth keepalive-timeout
【缺省情况】
缺省情况下,心跳间隔时间是10分钟。
【视图】
系统视图
【参数】
timeout:WEB心跳间隔时间,范围是1到720,单位是分钟,缺省是10分钟。
【举例】
# 设置心跳间隔时间为30分钟。
host# system-view
host(config)# user-webauth keepalive-timeout 30
user-webauth login-multi命令用来允许同一个用户名登录同时登录多次。
【命令】
user-webauth login-multi number [ count ]
【缺省情况】
缺省情况下,不允许同一个用户同时登录多次。
【视图】
系统视图
【参数】
count:允许同一个用户同时登录的次数,范围是2到1000次,如果不输入数字,缺省是无限制。
【举例】
# 设置WEB认证允许同一用户名在同时无限次登录。
host# system-view
host(config)# user-webauth login-multi number
user-webauth login-single命令用来限制用户同时只能登录一次。
【命令】
user-webauth login-single mode { kick-old | forbid-new }
【缺省情况】
缺省情况下,用户同时只能登录一次,缺省策略是踢出老用户。
【视图】
系统视图
【参数】
kick-old:新用户会踢出老用户。
forbid-new:禁止老用户登录。
【举例】
# 配置用户同时只能登录一次,新用户登录会踢出老用户。
host# system-view
host(config)# user-webauth login-single mode kick-old
user-webauth traffic-alive命令用来配置用户老化方式为流量超时老化。
【命令】
user-webauth traffic-alive
【缺省情况】
缺省情况下,用户老化方式为心跳超时老化。
【视图】
系统视图
【参数】
无
【举例】
# 配置用户老化方式为流量超时老化,超时时间为15分钟。
host# system-view
host(config)# user-webauth traffic-alive
host(config)# user-webauth keepalive-timeout 15
user-free timeout命令用来配置免认证方式用户超时老化时间。
no user-free timeout命令用来取消超时时间。
【命令】
user- free timeout timeout
【缺省情况】
缺省情况下,用户老化超时时间为15分钟。
【视图】
系统视图
【参数】
timeout:范围10-144000,单位分钟,缺省15分钟
【举例】
# 配置免认证用户超时老化时间为10分钟。
host# system-view
host(config)# user-free timeout 10
user-sms timeout命令用来配置短信认证方式用户超时老化时间。
no user-sms timeout命令用来取消超时时间。
【命令】
user- sms timeout timeout
【缺省情况】
缺省情况下,用户超时老化时间为15分钟。
【视图】
系统视图
【参数】
timeout:范围10-144000,单位分钟,缺省15分钟
【举例】
# 配置短信认证用户超时老化时间为10分钟。
host# system-view
host(config)# user-sms timeout 10
user-sms without-awareness enable 命令用来开启短信认证无感知功能。
user-sms without-awareness disable命令用来关闭短信认证无感知功能。
【命令】
user-sms without-awareness {enable|disable|timeout}
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启无感知功能。
enable:关闭无感知功能。
timeout:无感知功能超时时间,范围是10~144000,单位是分钟,缺省为10080分钟。
【使用指导】
当用户认证登录以后,设备会记录用户的MAC地址,加入无感知表,在超时时间范围内,用户下次再次上线设备先查询无感知表,查询到已记录的MAC后直接认证自动完成认证上线,实现无感知功能。
【举例】
# 开启本地WEB认证无感知功能,并设置无感知功能超时时间为7200分钟。
host# system-view
host(config)# user-sms without-awareness enable
host(config)# user-sms without-awareness timeout 7200
user-wechat timeout命令用来配置用户超时时间。
no user-wechat timeout命令用来取消用户超时时间。
【命令】
user- wechat timeout timeout
no user- wechat timeout
【缺省情况】
缺省情况下,用户超时时间默认为15分钟。
【视图】
系统视图
【参数】
timeout:在线用户超时时间,范围是10~144000,单位是分钟,缺省15分钟。
【举例】
# 配置用户超时时间为20分钟。
host# system-view
host(config)# user-wechat timeout 20
user-wechat appid命令用来微信公众号应用id。
【命令】
user- wechat appid STRING
【缺省情况】
缺省情况下,未配置微信公众号appid。
【视图】
系统视图
【参数】
STRING:应用id,从公众平台获取。
【举例】
# 配置微信应用id为wxa921dcce3f9ea198。
host# system-view
host(config)# user-wechat appid wxa921dcce3f9ea198
user-wechat secretkey命令用来配置微信公众号应用密钥。
【命令】
user- wechat secretkey STRING
【缺省情况】
缺省情况下,未配置微信公众号secretkey。
【视图】
系统视图
【参数】
STRING:应用密钥,从公众平台获取。
【举例】
# 配置微信应用密钥。
host# system-view
host(config)# user-wechat secretkey 86691be59b208d489111429f75f7f678
user-wechat token-url 命令用来配置微信认证获取微信公众号token参数的token-url。
no user-wechat token-url命令用来删除微信认证获取微信公众号token参数的token-url。
【命令】
user-webauth hello-url STRING
no user-webauth hello-url
【缺省情况】
缺省情况下,不配置token-url,直接通过微信公众号获取token。
【视图】
系统视图
【参数】
STRING:token-url第三方服务器地址如:http://192.168.1.1; 不支持https,允许为空,当不配置token-url时直接从微信平台获取token,配置token-url后从token-url间接获取token)。当有多个网关使用同一个微信公众号时需要设置token-url,因为一旦微信公众号上的token更新后,老的token就失效了。
【举例】
# 设置token-url地址为http://192.168.2.114
host# system-view
host(config)# user-wechat token-url http://192.168.2.114
user-wechat force-concern enable 命令用来开启微信认证强制关注功能。
user-wechat force-concern disable命令用来关闭微信认证强制关注功能。
【命令】
user-wechat force-concern {enable|disable}
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启强制关注功能。
enable:关闭强制关注功能。
【使用指导】
当开启强制关注功能后,若用户通过微信认证后没有关注该公众号,在一段时间后(5分钟左右)会被设备踢下线,只有在关注了微信公众号的情况下才能正常上网。
【举例】
# 开启微信认证强制关注功能。
host# system-view
host(config)# user-wechat force-concern enable
user-wechat without-awareness enable 命令用来开启微信认证无感知功能。
user- wechat without-awareness disable命令用来关闭微信认证无感知功能。
【命令】
user- wechat without-awareness {enable|disable|timeout}
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启无感知功能。
enable:关闭无感知功能。
timeout:无感知功能超时时间,范围是10~144000,单位是分钟,缺省为10080分钟。
【使用指导】
当用户认证登录以后,设备会记录用户的MAC地址,加入无感知表,在超时时间范围内,用户下次再次上线设备先查询无感知表,查询到已记录的MAC后直接认证自动完成认证上线,实现无感知功能。
【举例】
# 开启微信认证无感知功能,并设置无感知功能超时时间为7200分钟。
host# system-view
host(config)# user- wechat without-awareness enable
host(config)# user-wechat without-awareness timeout 7200
user-wechat white-list 命令用来配置微信认证白名单。
no user-wechat white-list 命令用来删除微信认证白名单。
【命令】
user-wechat white-list {A.B.C.D|A.B.C.D/M}
【缺省情况】
缺省情况下, 没有配置微信认证白名单。
【视图】
系统视图
【参数】
A.B.C.D:白名单IP。
A.B.C.D/M:白名单IP地址段。
【使用指导】
微信认证白名单只针对微信认证方式生效,其他认证方式白名单可通过配置全局白名单实现。
微信认证白名单对混合认证中的微信认证不生效。
【举例】
# 将192.168.2.128和192.168.1.0/24加入微信认证白名单。
host# system-view
host(config)# user-wechat white-list 192.168.2.128
host(config)# user-wechat white-list 192.168.1.0/24
user-policy命令用来创建用户策略。
no user-policy命令用来删除用户策略。
【命令】
user-policy { if_in | any } { if_out | any } { sip | any } { dip | any } { schedule | always } mix-webauth {free/local/sms/wechat} [ id ] [ head | { before | after } [ compare-id ] ]
no user-policy id
【缺省情况】
缺省情况下,没有启用用户策略。
【视图】
系统视图
【参数】
if_in:流量入接口。
any:任何接口。
if_out:流量出接口。
any:任何接口:
sip:源地址匹配的地址对象或对象组。
any:任何源地址。
dip :目的地址匹配的地址对象或对象组。
any:任何目的地址。
schedule :配的时间对象。
always:任何时间。
mix-webauth :通过混合认证方式后,流量才可以放通。
free/local/sms/wechat:混合认证方式任意选择free/local/sms/wechat中有1-4种进行任意组合。
id:给流量指定的id号,范围是1~65535,缺省从1开始自动排列。
head:将用户策略的匹配顺序放到最前面。
before:将用户策略的匹配顺序放到到指定策略之前。
after:将用户策略的匹配顺序放到到指定策略之后。
compare-id:before和after使用时的基准策略id,范围是1~65535。
id:要删除的流量id号,范围是1~65535,。
【使用指导】
用户在策略匹配时有顺序要求,一般按照显示的顺序从上到下匹配。
【举例】
# 创建混合认证,混合认证方式选择local/sms/wechat 3种同时搭配,用户可根据权限任意使用一种认证方式进行认证。
host# system-view
host(config)# user-policy any any any any always mix-webauth free/local/sms/wechat
【相关命令】
· display user-policy
user-policy whitelist 命令用来配置域名白名单。
no user- policy whitelist 命令用来删除域名白名单。
【命令】
user-policy whitelist {exclude{host HOST}|host Host}
【缺省情况】
缺省情况下, 没有配置域名白名单。
【视图】
系统视图
【参数】
exclude:白名单排除地址,可以设置为IP或域名。
host:白名单地址,可以设置为IP或域名。
【使用指导】
域名白名单对所有认证方式都生效,用户在未认证前即可访问白名单地址。
【举例】
# 将192.168.1.0/24加入域名白名单,排除IP为192.168.1.50。
# 将qq.com加入域名白名单,排除域名为news.qq.com。
host# system-view
host(config)# user-policy whitelist host 192.168.1.0/24
host(config)# user-policy whitelist exclude host 192.168.1.50
host(config)#user-policy whitelist host qq.com
host(config)#user-policy whitelist exclude host news.qq.com
【相关命令】
· display user-policy whitelist
· display running-config user-policy
user-policy user-whitelist命令用来配置认证全局白名单。
no user-policy user-whitelist 命令用来删除认证全局白名单。
【命令】
user-policy user-whitelist{A.B.C.D|A.B.C.D/M}
no user-policy user-whitelist{A.B.C.D|A.B.C.D/M}
【缺省情况】
缺省情况下, 没有配置认证全局白名单。
【视图】
系统视图
【参数】
A.B.C.D:全局白名单IP。
A.B.C.D/M:全局白名单IP地址段。
【使用指导】
全局认证白名单针对所有认证方式都生效,配置为全局白名单的用户不需要认证即可访问网络。
【举例】
# 将192.168.2.128和192.168.1.0/24加入认证全局白名单。
host# system-view
host(config)# user-policy user-whitelist 192.168.2.128
host(config)# user-policy user-whitelist 192.168.1.0/24
bindtype命令用来配置LDAP服务器绑定类型。
【命令】
bindtype { anonymous | simple user name passwd password }
【视图】
LDAP配置视图
【参数】
anonymous:绑定类型为匿名。
simple:绑定类型为简单。
user:通用类型时的用户名。
name:用户名,为1~128个字符的字符串。
passwd:通用类型时的密码。
password:密码,为1~16个字符的字符串。
【举例】
# 配置LDAP服务器server2的绑定类型为简单,用户ldap1,密码123456。
host# system-view
host(config)# ldap server2
host(config-ldap)# bindtype simple user ldap1 passwd 123456
【相关命令】
· ldap
· cnid
· dn
cnid命令用来配置通用名称。
【命令】
cnid cnid
【视图】
LDAP配置视图
【参数】
cnid:通用标识名,为1~4个字符的字符串。
【举例】
# 配置LDAP服务器server2的通用标识名为cn。
host# system-view
host(config)# ldap server2
host(config-ldap)# cnid cn
【相关命令】
· ldap
· bindtype
· dn
· filter
dn命令用来配置LDAP服务器区别名。
【命令】
dn dn
【视图】
LDAP配置视图
【参数】
dn:区别名,为1~128个字符的字符串。
【举例】
# 配置LDAP服务器server2的区别名为OU=users,OU=test, DC=com。
host# system-view
host(config)# ldap server2
host(config-ldap)# dn OU=users,OU=test,DC=com
【相关命令】
· ldap
· bindtype
· cnid
ldap命令用来配置LDAP服务器地址。
【命令】
ldap server-ip port
【视图】
LDAP配置视图
【参数】
server-ip:LDAP服务器地址。
port:LDAP服务器端口,范围是1~65535,缺省389。
【举例】
# 配置LDAP服务器server2的地址为2.2.2.2,端口为24。
host# system-view
host(config)# ldap server2
host(config-ldap)# ldap 2.2.2.2 24
【相关命令】
· ldap
· bindtype
· cnid
· dn
ldap命令用来创建和管理LDAP服务器。
no ldap命令用来删除和管理LDAP服务器。
【命令】
ldap name [ group groupname ]
no ldap name [ group groupname ]
【缺省情况】
缺省情况下,没有配置LDAP服务器。
【视图】
系统视图
【参数】
name:LDAP服务器名称,为1~127个字符的字符串。
group将服务器加入到LDAP组中。
groupname:LDAP服务器要加入的服务器组名称,为1~19个字符的字符串。
【使用指导】
创建LDAP服务器后,会进入LDAP配置视图。
【举例】
# 创建名字为server2的LDAP服务器。
host# system-view
host(config)# ldap server2
host(config-ldap)#
【相关命令】
· ldap
· bindtype
· cnid
· dn
radius-server命令用来配置或管理RADIUS服务器。
no radius-server命令用来管理或删除RADIUS服务器。
【命令】
radius-server name { server-ip secret [ port ] | group group-name }
no radius-server name [ group group-name ]
【缺省情况】
缺省情况下,没有配置RADIUS服务器。
【视图】
用视图
【参数】
name:RADIUS服务器名字,为1~256个字符的字符串。
server-ip:服务器IP地址。
secret:服务器密码,为1~256个字符的字符串。
port:服务器的端口号,范围是1~65535,缺省是1812。
group:将服务器加入或删除RADIUS服务器组中。
group-name:服务器组名称,为1~256个字符的字符串。
【举例】
# 创建RADIUS服务器server1,IP地址1.1.1.1,密码123456。
host# system-view
host(config)# radius-server server1 1.1.1.1 123456
【相关命令】
· display radius-server
server-group命令用来创建服务器组。
no server-group命令用来删除服务器组。
【命令】
server-group name { radius | ldap } firewall
no server-group name
【缺省情况】
缺省情况下,没有配置服务组。
【视图】
系统视图
【参数】
name:服务器组名,为1~256个字符的字符串。
radius:服务器组为RADIUS服务器组。
ldap:服务器组为LDAP服务器组。
【举例】
# 创建名字为group2的LDAP服务器组。
host# system-view
host(config)# server-group group2 ldap firewall
【相关命令】
· radius-server
· ldap
display radius-server命令用来显示系统中配置的服务器。
【命令】
display radius-server [ servername ]
【视图】
用户视图
【参数】
servername:要显示的服务器名字,为1~256个字符的字符串。
【举例】
host# display radius-server
# 显示系统内所有的RADIUS服务器。
Radius-Server Name Secret IP Address Port Reference Count
aaa ****** 1.1.1.1 1812 1
12312 ***** 2.2.2.2 1812 0
server1 ****** 1.1.1.1 1812 0
Total radius-servers : 3
表1-8 display radius-server命令显示信息描述表
|
字段 |
描述 |
|
Radius-Server Name |
RADIUS服务器名称 |
|
Secret |
服务器密码,已经加密 |
|
IP Address |
服务器地址 |
|
Port |
服务器端口 |
|
Reference Count |
引用计数 |
|
Total radius-servers |
系统内RADIUS服务器个数 |
display server-group命令用来显示配置的服务器组。
【命令】
display server-group [ groupname ]
【视图】
用户视图
【参数】
groupname:要显示的服务组名称,为1-256个字符的字符串。
【举例】
# 显示系统所有的服务器组。
host(config)# display server-group
Group Name Type Mode Imprint_Clean Access_Security Rule Refer_Count
bbbb firewall 1
dddd firewall 0
group2 firewall 0
Total groups : 3
表1-9 display server-group命令显示信息描述表
|
字段 |
描述 |
|
Group Name |
服务器组名称 |
|
Type |
服务器组类型 |
|
Refer_Count |
引用计数 |
|
Total groups |
系统内服务器组的个数 |
# 显示RADIUS服务器组bbbb和LDAP服务器组group2。
host(config)# display server-group bbbb
Group Name Type Mode Imprint_Clean Access_Security Rule Refer_Count User List
bbbb firewall 1 123
1 user in group (bbbb)
Group Name Type Mode Refer_Count Radius-server List
bbbb firewall 1 aaa
radius-server in group (bbbb)
host(config)# display server-group group2
Group Name Type Mode Imprint_Clean Access_Security Rule Refer_Count User List
group2 firewall 0
0 user in group (group2)
Group Name Type Mode Refer_Count Ldap-server List
group2 firewall 0 server2
1 ldap-server in group (group2
表1-10 display server-group groupname 命令显示信息描述表
|
字段 |
描述 |
|
Group Name |
服务器组名称 |
|
Type |
服务器组类型 |
|
Refer_Count |
引用计数 |
|
Total groups |
服务器组的个数 |
|
User List |
使用此服务器组认证的用户列表 |
|
Radius-server List |
服务器组内RADIUS服务器列表 |
|
Ldap-server |
服务器组内LDAP服务器列表 |
user-portal-server命令用来配置Portal认证的服务器IP地址。
no user-portal-server命令用来管理或删除Portal认证的服务器IP地址。
【命令】
user-portal-server {server server-ip | radius server-name | timeout time-value}
no user-portal-server {server server-ip | radius server-name | timeout time-value| portal-url URL }
【缺省情况】
缺省情况下,没有配置Portal服务器。
【视图】
用户视图
【参数】
server-ip:Portal服务器IP地址。
server-name:RADIUS服务器的名称。
time-out:Portal认证用户的超时时间,范围是1到144000,单位是分钟,缺省是15分钟。
Portal-url:格式如
http://serverip/portal?userip=<USERIP>&usermac=<USERMAC>&origurl=<ORIGURL>&nasip=nasip。
【举例】
# 配置Portal服务器的IP地址是192.168.10.1,radius服务器的名称是rad-server。
host# system-view
host(config)# user-portal-server server 192.168.10.1
host(config)# user-portal-server radius rad-server
sso-match-other命令用来配置继续匹配后续策略。
【命令】
user-policy any any any any always sso-match-other
【缺省情况】
缺省情况下,未开启单点登录。
【视图】
Config视图
【使用指导】
【举例】
# 开启单点登录,源目ip默认、引用时间默认,配置单点登录认证失败后继续匹配后续策略。
host# system-view
host(config)# user-policy any any any any always sso-match-other
【相关命令】
sso-no-authen-ip命令用来配置认证失败后以地址作为用户名。
【命令】
user-policy any any any any always sso-no-authen-ip
【缺省情况】
缺省情况下,默认是认证失败后以ip地址作为用户名
【视图】
Config视图
【使用指导】
配置认证失败后,允许以ip地址作为用户名
【举例】
# 开启单点登录,源目ip默认、引用时间默认,配置单点登录认证失败后以ip地址作为用户名
host# system-view
user-policy any any any any always sso-no-authen-ip
【相关命令】
· display running-config user-sso
user-adsso key命令用来配置单点登录密码。
【命令】
User-adsso key password
【缺省情况】
缺省情况下,未开启单点登录。
【视图】
Config视图
【使用指导】
配置单点登录使用的密码
【举例】
# 配置单点登录密码为123456。
host# system-view
host(config)# user-adsso key 123456
【相关命令】
· display running-config user-sso
· no user-adsso key
ldap name命令用来ldap配置试图。
No ldap name命令删除ldap服务器。
【命令】
Ldap name
No ldap name
【缺省情况】
缺省情况下,未配置ldap服务器
【视图】
系统视图
【使用指导】
当需要使用ldap认证或者同步时需要配置ldap服务器
【举例】
# 创建ldap服务器名称。
host# configure terminal
host(config)# ldap ad-ldap
host(config-ldap)#
ldap x.x.x.x 命令用来配置ldap服务器地址
【命令】
ldap x.x.x.x
【缺省情况】
缺省情况下,没有ldap服务器地址
【视图】
(config-ldap)#视图
【参数】
address:ip地址格式
【使用指导】
Ldap服务器地址需保证网络可达
【举例】
# 创建负载均衡组。
host# configure terminal
host(config)# ldap ad-ldap
host(config-ldap)#ldap 172.16.1.1 24
【相关命令】
· display ldapserver
cnid 通用名标示。通常情况下有两种类型一种cn,一种upn
1、cn 全称 common name :每个用户节点的识别属性标识
2、upn 用于用户登录名进行web认证时使用的标识
【命令】
Cnid
【缺省情况】
缺省情况下,cnid为空
【视图】
(config-ldap)#视图
【使用指导】
1、cn 全称 common name :每个用户节点的识别属性标识,当使用标示名时使用cn。
2、upn 用于用户登录名进行web认证时使用的标识。
【举例】
# 启用负载均衡组。
host# configure terminal
host(config)# ldap ad-ldap
host(config)#cnid cn
【相关命令】
· display ldapserver
dn也叫Base dn用于获取同步信息的服务器域名路径
【命令】
Dn distinguish name
【缺省情况】
缺省情况下,DN为空
【视图】
(config-ldap)#视图
【使用指导】
当配置dn时需保证dn路径正常,否则ldap服务器无法同步和认证
【举例】
# 配置dn路径。
host# configure terminal
host(config)# ldap ad-ldap
host(config)#dn ou=test,ou=RD,dc=H3C,dc=com
【相关命令】
· display ldapserver
bindtype ldap服务器的两种认证方式,一个匿名anonymous,一个simple,默认匿名方式。
【命令】
Bindtype (anonymous)、(simple)
【视图】
(config-ldap)#视图
【使用指导】
Ldap服务器的认证方式,当域服务器需要认证才能同步用户时必须使用simple认证方式。
【举例】
# 配置ldap服务器拥有管理权限的域服务器管理员。
host# configure terminal
host(config)# ldap ad-ldap
host(config)#bindtype simple user cn=Manager,dc=H3C,dc=com passwd 123456
【相关命令】
· display ldapserver
ldap auto-syn命令用来配置ldap服务器
【命令】
ldap auto-syn (enable/disable)(0-23默认23点同步)
【视图】
(config-ldap)#视图
【使用指导】
只有开启自动同步后才可以配置同步时间
【举例】
# 配置ldap服务器自动同步,并设置同步时间为0点
host# configure terminal
host(config)# ldap ad-ldap
host(config-ldap)# ldap auto-syn enable
host(config-ldap)# ldap auto-syn 0
【相关命令】
· display ldapserver
表1-11
LDAP服务器页面的详细说明
|
字段 |
说明 |
|
Ldap name名称 |
LDAP服务器名称 |
|
addr服务器IP |
LDAP服务器地址 |
|
port端口 |
LDAP服务器端口,默认389明文,暂不支持636加密同步 |
|
cnid通用名标示 |
1、cn 全称 common name :每个用户节点的识别属性标识 2、upn 用于用户登录名进行web认证时使用的标识 |
|
dn |
用于获取同步信息的服务器域名路径 |
|
bindtype绑定方式 |
1.匿名 2.简单 |
|
管理员 |
拥有管理权限的域服务器管理员 |
|
管理员密码 |
管理员对应密码 |
|
自动同步 |
开启关闭自动同步 |
|
时间 |
勾选自动同步后配置自动同步时间向AD服务器发送同步请求 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
