- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-AAA命令
本章节下载: 01-AAA命令 (268.57 KB)
目 录
1.1.11 local-server log change-password-prompt
1.2.6 password (Device management user view)
aaa session-limit命令用来配置同时在线的最大用户连接数,即采用指定登录方式登录设备并同时在线的用户数。
undo aaa session-limit命令用来将指定登录方式的同时在线的最大用户连接数恢复为缺省情况。
【命令】
aaa session-limit { ftp | ssh | telnet } max-sessions
undo aaa session-limit { ftp | ssh | telnet }
【缺省情况】
同时在线的各类型最大用户连接数均为32。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ftp:表示FTP用户。
ssh:表示SSH用户。
telnet:表示Telnet用户。
max-sessions:允许同时在线的最大用户连接数,FTP/SSH/Telnet用户的取值范围为1~32。
【使用指导】
当指定类型的接入用户的用户数超过当前配置的最大连接数后,新的接入请求将被拒绝。
【举例】
# 设置同时在线的最大FTP用户连接数为4。
<Sysname> system-view
[Sysname] aaa session-limit ftp 4
access-limit用来配置ISP域下允许接入的最大用户数。
undo access-limit命令用来恢复缺省情况。
【命令】
access-limit limit-number
undo access-limit
【缺省情况】
该域下未限制接入的用户数。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
limit-number:表示允许接入的最大用户数,取值范围为1~2147483647。
【使用指导】
ISP域下允许接入的用户数并不区分接入用户的类型,只要接入用户总数超过限定值后,新接入的用户将被拒绝认证。对于login用户,还需要受到系统视图下aaa session-limit的限制。
在线用户重认证时,不受所在域的最大用户数限制。
【举例】
# 配置ISP域my-domain下允许接入的最大用户数为100。
<Sysname> system-view
[Sysname] domain name my-domain
[Sysname-isp-my-domain] access-limit 100
【相关命令】
· display domain
accounting default命令用来为当前ISP域配置缺省的计费方法。
undo accounting default命令用来恢复缺省情况。
【命令】
accounting default { local [ none ] | none }
undo accounting default
【缺省情况】
当前ISP域的缺省计费方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
local:本地计费。
none:不计费。
【使用指导】
当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效。
本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域system下,配置缺省计费方法为local。
<Sysname> system-view
[Sysname] domain name system
[Sysname-isp-system] accounting default local
【相关命令】
· local-user
accounting login命令用来为login用户配置计费方法。
undo accounting login命令用来恢复缺省情况。
【命令】
accounting login { local [ none ] | none }
undo accounting login
【缺省情况】
login用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
local:本地计费。
none:不计费。
【使用指导】
不支持对FTP、SFTP以及SCP类型的login用户进行计费。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域system下,为login用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain name system
[Sysname-isp-system] accounting login local
【相关命令】
· accounting default
· local-user
authentication default命令用来为当前ISP域配置缺省的认证方法。
undo authentication default命令用来为恢复缺省情况。
【命令】
authentication default { local [ none ] | none }
undo authentication default
【缺省情况】
当前ISP域的缺省认证方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
local:本地认证。
none:不进行认证。
【使用指导】
当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域system下,配置缺省认证方法为local。
<Sysname> system-view
[Sysname] domain name system
[Sysname-isp-system] authentication default local
【相关命令】
· local-user
authentication login命令用来为login用户配置认证方法。
undo authentication login命令用来恢复缺省情况。
【命令】
authentication login { local [ none ] | none }
undo authentication login
【缺省情况】
login用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
local:本地认证。
none:不进行认证。
【使用指导】
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域system下,为login用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain name system
[Sysname-isp-sytem] authentication login local
【相关命令】
· authentication default
· local-user
authorization default命令用来为当前ISP域配置缺省的授权方法。
undo authorization default命令用来恢复缺省情况。
【命令】
authorization default { local [ none ] | none }
undo authorization default
【缺省情况】
当前ISP域的缺省授权方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非Login用户可直接访问网络。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
【使用指导】
当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的授权方法,则该授权方法对于这类用户不能生效。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域system下,配置缺省授权方法为local。
<Sysname> system-view
[Sysname] domain name system
[Sysname-isp-system] authorization default local
# 在ISP域test下,配置缺省授权方法为使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization default radius-scheme rd local
【相关命令】
· local-user
authorization login命令用来为login用户配置授权方法。
undo authorization login命令用来恢复缺省情况。
【命令】
authorization login { local [ none ] | none }
undo authorization login
【缺省情况】
login用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
【使用指导】
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域system下,为login用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain name system
[Sysname-isp-system] authorization login local
【相关命令】
· authorization default
· local-user
display domain命令用来显示所有或指定ISP域的配置信息。
【命令】
display domain [ name isp-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name isp-name:ISP域名,为1~255个字符的字符串,不区分大小写。如果不指定该参数,则表示所有ISP域。
【使用指导】
若要查看ISP域中的负载分担用户组及组内用户数目信息,执行本命令时必须指定该域的名称。
【举例】
# 显示系统中所有ISP域的配置信息。
<Sysname> display domain
Total 1 domains
Domain: system
Current state: Active
State configuration: Active
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out policy: Offline
Send accounting update:Yes
Service type: HSI
Session time: Exclude idle time
DHCPv6-follow-IPv6CP timeout: 60 seconds
Dual-stack accounting method: Merge
NAS-ID: N/A
Web server URL : Not configured
Web server URL parameters : Not configured
Web server IPv4 address : Not configured
Web server IPv6 address : Not configured
Redirect active time : Not configured
Redirect server IPv4 address: Not configured
Redirect server IPv6 address: Not configured
DHCP access user auto-save : Disabled
Authorization attributes:
Idle cut: Disabled
IGMP access limit: 4
MLD access limit: 4
Access limit: Not configured
Default domain name: system
表1-1 display domain命令显示信息描述表
|
字段 |
描述 |
|
Total x domains |
总计x个ISP域 |
|
Domain |
ISP域名 |
|
Current state |
(暂不支持)ISP域的当前状态,包括以下取值: · Blocked:阻塞状态 · Active:活动状态 |
|
State configuration |
(暂不支持)ISP域的状态配置,包括以下取值: · Active:活动状态 · Blocked during specific time ranges:在指定时间段处于阻塞状态 · Blocked:阻塞状态 |
|
Default authentication scheme |
缺省的认证方案 |
|
Default authorization scheme |
缺省的授权方案 |
|
Default accounting scheme |
缺省的计费方案 |
|
Login authentication scheme |
Login用户认证方案 |
|
Login authorization scheme |
Login用户授权方案 |
|
Login accounting scheme |
Login用户计费方案 |
|
Local |
本地方案 |
|
None |
不认证、不授权和不计费 |
|
Accounting start failure action |
(暂不支持)用户计费开始失败的动作,包括以下取值: · Online:如果用户计费开始失败,则保持用户在线 · Offline:如果用户计费开始失败,则强制用户下线 |
|
Accounting update failure action |
(暂不支持)用户计费更新失败的动作,包括以下取值: · Online:如果用户计费更新失败,则保持用户在线 · Offline:如果用户计费更新失败,则强制用户下线 |
|
Accounting quota out policy |
(暂不支持)用户计费配额耗尽策略,包括以下取值: · Online:如果用户计费配额耗尽,则保持用户在线 · Offline:如果用户计费配额耗尽,则强制用户下线 · Redirect:发送重定向URL |
|
Send accounting update |
(暂不支持)用户配额耗尽后是否发送获取新配额的计费更新报文: · Yes:发送 · No:不发送 |
|
Service type |
(暂不支持)ISP域的业务类型,取值为HSI,STB和VoIP |
|
Session time |
(暂不支持)当用户异常下线时,设备上传到服务器的用户在线时间情况: · Include idle time:保留用户闲置切断时间 · Exclude idle time:扣除用户闲置切断时间 |
|
DHCPv6-follow-IPv6CP timeout |
(暂不支持)PPPoE/L2TP用户等待分配IPv6地址/PD的时间(单位为秒) |
|
Dual-stack accounting method |
(暂不支持)双协议栈用户的计费方式,包括以下取值: · Merge:统一计费,即将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器 · Separate:分别计费,即将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器 |
|
NAS-ID |
(暂不支持)设备的NAS-ID 若未配置,则显示为N/A |
|
Web server URL |
(暂不支持)Web服务器的URL |
|
Web server URL parameters |
(暂不支持)Web服务器的URL携带的参数信息 |
|
Web server IPv4 address |
(暂不支持)Web服务器的IPv4地址 |
|
Web server IPv6 address |
(暂不支持)Web服务器的IPv6地址 |
|
Redirect active time |
(暂不支持)推送Web重定向URL的有效时长,单位为秒 |
|
Redirect server IPv4 address |
(暂不支持)Web重定向页面的服务器IPv4地址 |
|
Redirect server IPv6 address |
(暂不支持)Web重定向页面的服务器IPv6地址 |
|
DHCP access user auto-save |
(暂不支持)DHCP用户信息自动备份功能 |
|
Authorization attributes |
ISP的用户授权属性 |
|
Idle cut |
用户闲置切断功能,包括以下取值: · Enabled:处于开启状态,表示当ISP域中的用户在指定的最大闲置切断时间内产生的流量小于指定的最小数据流量时,会被强制下线 · Disabled:处于关闭状态,表示不对用户进行闲置切断控制,它为缺省状态 |
|
IGMP access limit |
(暂不支持)授权IPv4用户可以同时点播的最大节目数 |
|
MLD access limit |
(暂不支持)授权IPv6用户可以同时点播的最大节目数 |
|
Access limit |
允许接入的最大用户数 |
|
Default domain name |
缺省ISP域名 |
domain命令用来创建ISP域,并进入ISP域视图。如果指定的ISP域已经存在,则直接进入ISP域视图。
undo domain命令用来删除指定的ISP域。
【命令】
domain name isp-name
undo domain name isp-name
【缺省情况】
存在一个ISP域,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
name isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
所有的ISP域在创建后即处于active状态。
设备仅支持系统预定义的ISP域system,不能删除该域。
【举例】
# 进入system域视图。
<Sysname> system-view
[Sysname] domain name system
[Sysname-isp-system]
【相关命令】
· display domain
local-server log change-password-prompt命令用来开启密码修改周期性提醒日志功能。
undo local-server log change-password-prompt命令用来关闭密码修改周期性提醒日志功能。
【命令】
local-server log change-password-prompt
undo local-server log change-password-prompt
【缺省情况】
密码修改周期性提醒日志功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
为了提高系统的安全性,用户通过Telnet、SSH、HTTP、HTTPS、NETCONF over SSH、NETCONF over SOAP方式登录设备时,系统会根据指定的安全要求对用户密码进行检查。为了及时提醒用户修改不符合系统要求的密码,建议开启密码修改周期性提醒日志功能。
开启本功能后,系统将每隔24小时,对所有不符合密码检查策略的用户打印日志,提醒这些用户尽快修改当前密码。除了周期性提醒之外,系统还会在每个用户登录时,针对不符合密码检查策略的情况立即打印日志进行提醒。
· 对于通过Telnet、SSH、HTTP、HTTPS方式登录设备的用户,如果用户密码为弱密码,且系统在用户登录时未要求其立即更改密码,系统会打印此提醒日志。弱密码是指不符合如下任意一项要求的密码:
¡ 密码组合检测策略。
¡ 密码最小长度限制。
¡ 密码复杂度检查策略。
· 对于通过NETCONF over SSH、NETCONF over SOAP方式登录设备的用户,如果出现以下情况,系统会打印此提醒日志:
¡ 用户密码为弱密码。
¡ 用户密码为缺省密码。
¡ 全局密码管理功能开启后,用户首次登录或使用被更改过的密码。
¡ 用户密码已经过期。
仅当以下情况发生时,系统才会停止打印此提醒日志:
· 关闭了密码修改周期性提醒日志功能。
· 用户密码修改为符合系统安全要求的密码。
· 密码检查策略相关功能的开启状态发生变化,使得密码检查策略变得宽松。
· 密码检查策略的参数设置发生变化。
当前系统中的密码检查策略可通过display password-control命令查看。弱密码检查使用的密码组合检测策略、密码最小长度限制、密码复杂度检查策略可分别通过password-control composition、password-control length、password-control complexity命令修改。关于密码检查策略的具体介绍,请参见“安全命令参考”的“Password Control”。
【举例】
# 开启密码修改周期性提醒日志功能。
<Sysname> system-view
[Sysname] local-server log change-password-prompt
【相关命令】
· display password-control(安全命令参考/Password Control)
· password-control composition(安全命令参考/Password Control)
· password-control length(安全命令参考/Password Control)
access-limit命令用来设置使用当前本地用户名接入设备的最大用户数。
undo access-limit命令用来恢复缺省情况。
【命令】
access-limit max-user-number
undo access-limit
【缺省情况】
不限制使用当前本地用户名接入的用户数。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
max-user-number:表示使用当前本地用户名接入设备的最大用户数,取值范围为1~1024。
【使用指导】
本地用户视图下的access-limit命令只在该用户采用了本地计费方法的情况下生效。
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制。
【举例】
# 允许同时以本地用户名abc在线的用户数为5。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-manage-abc] access-limit 5
【相关命令】
· display local-user
display local-user命令用来显示本地用户的配置信息和在线用户数的统计信息。
【命令】
display local-user [ class manage | idle-cut { disable | enable } | service-type { ftp | ssh | telnet | terminal } | state { active | block } | user-name user-name class manage ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
class:显示指定用户类别的本地用户信息。
manage:设备管理类用户。
idle-cut { disable | enable }:显示开启或关闭闲置切断功能的本地用户信息。其中,disable表示未启用闲置切断功能的本地用户;enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户。
service-type:显示指定用户类型的本地用户信息。
· ftp:FTP用户。
· ssh:SSH用户。
· telnet:Telnet用户。
· terminal:从Console口登录的终端用户。
state { active | block }:显示处于指定状态的本地用户信息。其中,active表示用户处于活动状态,即系统允许该用户请求网络服务;block表示用户处于阻塞状态,即系统不允许用户请求网络服务。
user-name user-name:显示指定用户名的本地用户信息。user-name表示本地用户名,为1~80个字符的字符串,可以为“纯用户名@域名”或者纯用户名。其中,纯用户名区分大小写,不能包含符号“\”、“|”、“/”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;域名不区分大小写,不能包含符号“@”。
【使用指导】
如果不指定任何参数,则显示所有本地用户信息。
【举例】
# 显示所有本地用户的相关信息。
<Sysname> display local-user
Total 1 local users matched.
Device management user root:
State: Active
Service type: SSH/Telnet/Terminal
Access limit: Enabled Max access number: 3
Current access number: 1
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-admin
Password control configurations:
Password aging: 3 days
Password remaining lifetime: 2 days 12 hours 30 minutes 30 seconds
Password history was last reset: 0 days ago
表1-2 display local-user命令显示信息描述表
|
字段 |
描述 |
|
Total x local users matched. |
总计有x个本地用户匹配 |
|
State |
本地用户状态 · Active:活动状态 · Block:阻塞状态 |
|
Service type |
本地用户使用的服务类型 |
|
Access limit |
是否对使用该用户名的接入用户数进行限制 |
|
Max access number |
最大接入用户数 |
|
Current access number |
使用该用户名的当前接入用户数 |
|
User group |
本地用户所属的用户组 |
|
Bind attributes |
(暂不支持)本地用户的绑定属性 |
|
Authorization attributes |
本地用户的授权属性 |
|
Idle timeout |
本地用户闲置切断时间(单位为分钟) |
|
Session-timeout |
本地用户的会话超时时间(单位为分钟) |
|
Work directory |
FTP/SFTP/SCP用户可以访问的目录 |
|
ACL number |
(暂不支持)本地用户授权ACL |
|
VLAN ID |
(暂不支持)本地用户授权VLAN |
|
User profile |
(暂不支持)本地用户授权User Profile |
|
User role list |
(暂不支持)本地用户的授权用户角色列表 |
|
IP pool |
(暂不支持)本地用户的授权IPv4地址池 |
|
IP address |
本地用户的授权IPv4地址 |
|
IPv6 address |
本地用户的授权IPv6地址 |
|
IPv6 prefix |
本地用户的授权IPv6前缀 |
|
IPv6 pool |
本地用户的授权IPv6地址池 |
|
Primary DNS server |
本地用户的授权主DNS服务器IPv4地址 |
|
Secondary DNS server |
本地用户的授权从DNS服务器IPv4地址 |
|
Primary DNSV6 server |
本地用户的授权主DNS服务器IPv6地址 |
|
Secondary DNSV6 server |
本地用户的授权从DNS服务器IPv6地址 |
|
URL |
本地用户的授权PADM URL |
|
Subscriber ID |
本地用户的授权Subscriber ID |
|
Password control configurations |
本地用户的密码控制属性 |
|
Password aging |
密码老化时间 |
|
Password length |
密码最小长度 |
|
Password composition |
密码组合策略(密码元素的组合类型、至少要包含每种元素的个数) |
|
Password complexity |
密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符) |
|
Maximum login attempts |
用户最大登录尝试次数 |
|
Action for exceeding login attempts |
登录尝试次数达到设定次数后的用户账户锁定行为 |
|
Password history was last reset |
上一次清除密码历史记录的时间 |
|
Password remaining lifetime |
剩余密码老化时间 |
|
Password history was last reset |
上一次清除密码历史记录的时间 |
display user-group命令用来显示用户组的配置信息。
【命令】
display user-group { all | name group-name }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有用户组的配置信息。
name group-name:显示指定用户组的配置。group-name表示用户组名称,为1~32个字符的字符串,不区分大小写。
【举例】
# 显示所有用户组的相关配置。
<Sysname> display user-group all
Total 2 user groups matched.
User group: system
Authorization attributes:
Work directory: flash:
User group: jj
Authorization attributes:
Idle timeout: 2 minutes
Work directory: flash:/
ACL number: 2000
Password control configurations:
Password aging: 2 days
# 显示所有用户组中的身份成员信息。
<Sysname> display user-group identity-member
Total 2 user groups matched.
User group: system
Identity groups: 0
User group: jj
Identity groups: 2
Group ID Group name
0xffffffff group1
0x567 group2
Identity users: 2
User ID Username
0x234 user1
0xffffffff user2
表1-3 display user-group命令显示信息描述表
|
字段 |
描述 |
|
Total 2 user groups matched. |
总计有2个用户组匹配 |
|
Authorization attributes |
授权属性信息 |
|
Idle timeout |
闲置切断时间(单位:分钟) |
|
Session-timeout |
本地用户的会话超时时间(单位为分钟) |
|
Work directory |
FTP/SFTP/SCP用户可以访问的目录 |
|
ACL number |
授权ACL号 |
|
IP pool |
授权IPv4地址池 |
|
IPv6 prefix |
授权IPv6前缀 |
|
IPv6 pool |
授权IPv6地址池 |
|
Primary DNS server |
授权主DNS服务器IPv4地址 |
|
Secondary DNS server |
授权从DNS服务器IPv4地址 |
|
Primary DNSV6 server |
授权主DNS服务器IPv6地址 |
|
Secondary DNSV6 server |
授权从DNS服务器IPv6地址 |
|
URL |
授权强制URL |
|
Subscriber ID |
授权Subscriber ID |
|
Password control configurations |
用户组的密码控制属性 |
|
Password aging |
密码老化时间 |
|
Password length |
密码最小长度 |
|
Password composition |
密码组合策略(密码元素的组合类型、至少要包含每种元素的个数) |
|
Password complexity |
密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符) |
|
Maximum login attempts |
用户最大登录尝试次数 |
|
Action for exceeding login attempts |
登录尝试次数达到设定次数后的用户账户锁定行为 |
|
Identity users |
用户类型的身份识别成员数目 |
|
Identity groups |
用户组类型的身份识别成员数目 |
|
User ID |
用户的ID |
|
Group ID |
用户组的ID |
|
Username |
用户的名称 |
|
Group name |
用户组的名称 |
group命令用来设置本地用户所属的用户组。
undo group命令用来恢复缺省配置。
【命令】
group group-name
undo group
【缺省情况】
本地用户属于用户组system。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【举例】
# 设置设备管理类本地用户111所属的用户组为abc。
<Sysname> system-view
[Sysname] local-user 111 class manage
[Sysname-luser-manage-111] group abc
【相关命令】
· display local-user
local-user命令用来添加本地用户,并进入本地用户视图。如果指定的本地用户已经存在,则直接进入本地用户视图。
undo local-user命令用来删除指定的本地用户。
【命令】
local-user user-name [ class manage ]
undo local-user { user-name class manage | all [ service-type { ftp | ssh | telnet | terminal } | class manage ] }
【缺省情况】
不存在本地用户。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
user-name:表示本地用户名,为1~80个字符的字符串,可以为“纯用户名@域名”或者纯用户名。其中,纯用户名区分大小写,不能包含符号“\”、“|”、“/”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;域名不区分大小写,不能包含符号“@”。
class:指定本地用户的类别。若不指定本参数,则表示设备管理类用户。
manage:设备管理类用户,用于登录设备,对设备进行配置和监控。此类用户可以提供ftp、telnet、ssh、terminal服务。
all:所有的用户。
service-type:指定用户的类型。
· ftp:表示FTP类型用户。
· ssh:表示SSH用户。
· telnet:表示Telnet用户。
· terminal:表示从Console口登录的终端用户。
【举例】
# 添加名称为user1的设备管理类本地用户。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1]
【相关命令】
· display local-user
· service-type
password命令用来设置本地用户的密码。
undo password命令用来恢复缺省情况。
【命令】
password [ { hash | simple } string ]
undo password
【缺省情况】
不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。
【视图】
设备管理类本地用户视图
【缺省用户角色】
network-admin
【参数】
hash:表示以哈希方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串。
【使用指导】
如果不指定任何参数,则表示以交互式设置明文形式的密码。
可以不为本地用户设置密码。若不为本地用户设置密码,则该用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。为提高用户账户的安全性,建议设置本地用户密码。
【举例】
# 设置设备管理类本地用户user1的密码为明文123456TESTplat&!。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
# 以交互式方式设置设备管理类本地用户test的密码。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] password
Password:
confirm :
【相关命令】
· display local-user
service-type命令用来设置用户可以使用的服务类型。
undo service-type命令用来删除用户可以使用的服务类型。
【命令】
service-type { ftp | { ssh | telnet | terminal } * }
undo service-type { ftp | { ssh | telnet | terminal } * }
【缺省情况】
缺省情况下系统对用户授权SSH服务和Telnet服务。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
ftp:指定用户可以使用FTP服务。若授权FTP服务,缺省授权FTP用户可访问设备的根目录,授权目录可以通过authorization-attribute work-directory命令来修改。
ssh:指定用户可以使用SSH服务。
telnet:指定用户可以使用Telnet服务。
terminal:指定用户可以使用terminal服务(即从Console口登录)。
【使用指导】
可以通过多次执行本命令,设置用户可以使用多种服务类型。
【举例】
# 指定设备管理类用户可以使用Telnet服务和FTP服务。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] service-type telnet
[Sysname-luser-manage-user1] service-type ftp
【相关命令】
· display local-user
state命令用来设置当前本地用户的状态。
undo state命令用来恢复缺省情况。
【命令】
state { active | block }
undo state
【缺省情况】
本地用户处于活动状态。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务。
block:指定当前本地用户处于“阻塞”状态,即系统不允许当前本地用户请求网络服务。
【举例】
# 设置设备管理类本地用户user1处于“阻塞”状态。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] state block
【相关命令】
· display local-user
user-group命令用来创建用户组,并进入用户组视图。如果指定的用户组已经存在,则直接进入用户组视图。
undo user-group命令用来删除指定的用户组。
【命令】
user-group group-name
undo user-group group-name
【缺省情况】
存在一个用户组,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
用户组是一个本地用户的集合,某些需要集中管理的属性可在用户组中统一配置和管理。
不允许删除一个包含本地用户的用户组。
不能删除系统中存在的默认用户组system,但可以修改该用户组的配置。
【举例】
# 创建名称为abc的用户组并进入其视图。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc]
【相关命令】
· display user-group
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
