- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-用户和用户认证命令
本章节下载: 04-用户和用户认证命令 (1013.66 KB)
目 录
1.1.10 clear user-wechat white-list
1.1.17 display user-recognition
1.1.28 user-group NAME attribute
1.2.5 user-policy proxy all-url
1.2.6 user-policy https-portal-no-waring
1.2.7 user-policy https-portal limit-by-sni { enable | disable }
1.2.8 user-policy https-auth-no-waring
1.2.9 user-policy icmp permit { enable | disable }
1.2.10 user-policy portal-cache-cert
1.2.11 user-auth virtual-address { enable | disable }
1.2.12 user-auth virtual-address A.B.C.D
1.3.1 user-auth flow-pass type
1.3.2 user-auth flow-pass-time <20-180>
1.3.3 user-auth whitelist (wechat|dingtalk|wxwork|cas|oauth) HOST
1.4.4 user-policy user-whitelist
1.4.8 record-user bind { ip | mac }
1.8.5 user-adsso force-logout enable
1.9.9 ldap-auth easy-name-match
1.10.1 imc-server1 (imc-server2)
1.11.1 third-party-user-portal
1.13.2 user-policy listen authentication
1.14.4 snmp-task mac-learn aging-time
1.15.1 user-db-recognition server
1.15.2 user-db-recognition enable|disable
1.15.3 user-db-recognition address
1.15.4 user-db-recognition cmd
1.15.5 user-db-recognition priority
1.15.6 user-db-recognition interval
1.15.7 user-db-recognition timeout
1.15.8 user-db-recognition force-logout
1.15.9 display running-config user-db-recognition
1.16.1 user-self-reg {NAME} type {account | terminal}
1.16.2 approval { enable | disable }
alias命令用来配置用户别称,改别称可以在命令行查看。
【命令】
alias name 命令用来创建用户的别名。
no alias 命令用来删除该用户的别名。
【视图】
用户配置视图
【参数】
name :用户的别名。
【使用指导】
alias name是指用户的别名,在实际使用中可以设置为用户的实际姓名或者职位等。
【举例】
HOST# system-view
HOST(config)# user user10
HOST(config-user)# alias nickname
HOST(config-user)# exit
HOST(config)# display user user10
Name: user10
Desc:
Display name: nickname
Reference count: 0
Status: Enable
Account: None auth
Identity control: Disable
Bind conut: 0
Attribute conut: 0
【相关命令】
display user
bind exclude ip命令用来创建绑定地址的排除地址。
no bind exclude ip 命令用来删除绑定地址的排除地址。
【命令】
bind exclude ip { address ip-address | range start_ip end_ip | net IPNET }
no bind exclude ip { address ip-address | range start_ip end_ip | net IPNET }
【视图】
用户配置视图
【参数】
ip-address:要排除的地址。
start-ip:排除地址范围的起始地址。
end-ip:排除地址范围的结束地址。
IPNET:排除地址为一个网段,例如:1.1.1.1/24或者1.1.1.1/255.255.255.0。
【使用指导】
排除IP地址可以配置多条,但是条目之间不能有冲突现象。一个用户最多绑定256个IP地址。
【举例】
# 将用户user1绑定到地址范围1.1.1.1-1.1.1.5,并且排除地址1.1.1.4。
host# system-view
host(config)# user user1
host(config)#enable bind
host(config-user)# bind ip range 1.1.1.1 1.1.1.5
host(config-user)# bind exclude ip address 1.1.1.4
【相关命令】
· display user
bind ip命令用来绑定地址或地址范围。
no bind ip命令用来删除地址或地址范围绑定。
【命令】
bind ip { address ip-address | range start_ip end_ip | net IPNET }
no bind ip { address ip-address | range start_ip end_ip | net IPNET }
【视图】
用户配置视图
【参数】
ip-address:要绑定的地址(IPv4/IPv6)。
start-ip:绑定地址范围的起始地址。
end-ip:绑定地址范围的结束地址。
IPNET:排除地址为一个网段,例如:1.1.1.1/24或者1.1.1.1/255.255.255.0。
【使用指导】
绑定IP地址加排除IP地址最多只能配置32条,但是条目之间不能有冲突现象。一个用户最多绑定256个IP地址。
绑定IP地址支持IPv4以及IPv6地址,绑定范围仅支持IPv4地址。
【举例】
# 将用户user1绑定到地址范围1.1.1.1-1.1.1.5。
host# system-view
host(config)# user user1
host(config)#enable bind
host(config-user)# bind ip range 1.1.1.1 1.1.1.5
# 将用户user1绑定IPv6地址2020::2。
Host# configure terminal
Host(config)# user user1
Host(config-user)# enable bind
Host(config-user)# bind ip address 2020::2
【相关命令】
· display user
bind mac address命令用来绑定MAC地址。
no bind mac address命令用来删除绑定的MAC地址。
【命令】
bind mac address HH:HH:HH:HH:HH:HH
no bind mac address HH:HH:HH:HH:HH:HH
【视图】
用户配置视图
【参数】
HH:HH:HH:HH:HH:HH:绑定的mac地址。
【使用指导】
绑定MAC地址可以配置多条,但是条目之间不能有冲突现象。
【举例】
# 将用户user1绑定mac地址00:01:0a:0b:0c:11
host# system-view
host(config)# user user1
host(config-user)# bind mac address 00:01:0a:0b:0c:11
【相关命令】
· display user
bind-group 命令用于将用户绑定到指定用户组中。
【命令】
bind-group group-name
【视图】
用户配置视图
【参数】
group-name:用户组路径,格式如:/organization/产品部/资料组。
【使用指导】
该命令用于将用户绑定到指定的用户组中。没有重名用户组的情况下,可以只填写用户组名称,有重名用户组的情况下,必须填写完整路径。
【举例】
HOST# system-view
HOST(config)# user user10
HOST(config-user)# bind-group /organization/产品部/资料组
【相关命令】
user-group
clear user 命令用于清除某一个在线用户。
【命令】
clear user name address A.B.C.D time YYYY-MM-DD HH:MM
【视图】
全局视图
【参数】
name:用户名称。
A.B.C.D:用户的ip地址。
YYYY-MM-DD HH:MM:用户的上线时间。
【使用指导】
该命令用户清除某一个在线用户。
【举例】
HOST# clear user 192.168.200.36 address 192.168.200.36 time 2019-03-31 12:00
【相关命令】
display user
clear user-policy命令用于清除用户认证策略白名单。
【命令】
clear user-policy { user-whitelist | whitelist}
【视图】
全局视图
【参数】
user-whitelist:清除用户白名单。
whitelist:清除域名白名单。
【使用指导】
该命令用于清除用户白名单,清除白名单后,所有在用户认证范围内的用户都要经过认证才能正常使用网络。
【举例】
#清除用户认证策略用户白名单
HOST# clear user-policy user-whitelist
HOST#
【相关命令】
user-policy whitelist
user-policy user-whitelist
clear user-recognition命令用来清除所有或者某个动态识别出的在线用户信息。
【命令】
clear user-recognition [ name | ip A.B.C.D ]
【视图】
用户视图
【参数】
name:要清除在线用户信息的用户名,为1~63个字符的字符串。
A.B.C.D:要清除在线用户的信息的IP地址。
【举例】
# 清除所有动态识别出的在线用户信息。
host# clear user-recognition
clear user-waa命令用于清除所有无感知上线的用户。
【命令】
clear user-waa {local-waa | pop3-waa | qrcode-waa | sms-waa | wechat-waa} [usermac MAC]
【视图】
全局配置视图
【参数】
local-waa:清除本地无感知认证上线的用户。
pop3-waa:清除POP3无感知认证上线的用户。
qrcode-waa:清除二维码无感知认证上线的用户。
sms-waa:清除短信无感知认证上线的用户。
wechat-waa:清除微信无感知认证上线的用户。
MAC:清除指定MAC地址对应的用户。
【使用指导】
清除无感知上线用户后,通过无感知方式上线的用户将被强制下线。
【举例】
HOST# clear user-waa local-waa
%Clear the local-waa list success
HOST#
【相关命令】
display user
clear user-wechat white-list命令用于清除微信认证白名单用户。
【命令】
clear user-wechat white-list
【视图】
全局配置视图
【参数】
无
【使用指导】
使用该命令可以将微信认证白名单清除。
【举例】
HOST# system-view
HOST(config)# clear user-wechat white-list
HOST(config)#
【相关命令】
user-wechat whitelist
description命令用来设置本地用户描述。
no description命令用来清除本地用户描述
【命令】
description text
no description
【缺省情况】
缺省情况下,没有配置本地用户描述。
【视图】
用户配置视图
用户组配置视图
【参数】
text:用户描述信息,为0~127个字符的字符串。
【举例】
# 创建用户名为user1的用户,添加描述first user。
host# system-view
host(config)# user user1
host(config-user)# description firstuser
disable命令用来禁用本地用户。
【命令】
disable
【缺省情况】
缺省情况下,用户创建后是启用状态。
【视图】
用户配置视图
【举例】
# 禁用用户名为user1的用户。
host# system-view
host(config)# user user1
host(config-user)# disable
【相关命令】
· display user
· enable
display 命令用于查看用户信息。
【命令】
display { user-am | user-sols | user-srun} switch 查看第三方认证服务器同步的开关的状态
display user-authed [ usermac MAC | username name ] 查看认证用户的信息
display user-policy user-whitelist 查看用户认证白名单
display user-policy whitelist 查看用户认证白名单
display user-portal-escape info 查看portal逃生配置信息和功能状态。
display user-portal-server dhcp mac查看CMCC认证信息
display user-radius-ap-mac查看ap-mac学习状态
display user-radius-listen查看radius监听状态
display user-waa { local-waa | pop3-waa | qrcode-waa | sms-waa | wechat-waa }查看无感知认证用户
【视图】
全局配置视图
【参数】
无
【使用指导】
该命令主要用于快速查询用户的信息。
【举例】
#查看RADIUS监听状态
HOST# display user-radius-listen
user-radius-listen is disable!
【相关命令】
user
display user命令用来显示系统中配置的本地用户。
【命令】
display user [ username ]
【视图】
用户视图
【参数】
username:要显示的用户名,为1~127个字符的字符串,且不能包含“\/’”`”和空格。
【举例】
# 显示系统中配置的所有本地用户。
host# display user
Users: 3
Flags: G-Group U-User D-Disabled
Name Flags Recogs Refs Bind Path
test U 0 0 0 /organization
test1 U 0 0 0 /organization
user1 U 0 0 5 /organization/测试组
—————€、
表1-1 display user命令显示信息描述表
|
字段 |
描述 |
|
Name |
本地用户名 |
|
Flags |
用户或用户组的标记,U代表用户,G代表用户组 |
|
Recogs |
该用户的在线用户数 |
|
Refs |
用户引用计数 |
|
Bind |
用户绑定范围条数 |
|
Path |
用户的所属组 |
# 显示用户名为user1的用户信息。
host# display user user1
Name: user1
Desc:
Display name: nickname
Reference count: 0
Status: Enable
Account: None auth
Identity control: Kick old user
Bind conut: 5
1.1.1.1-1.1.1.5
1.1.1.4
2.2.2.1-2.2.2.10
2020::2
00:01:0a:0b:0c:11
Attribute conut: 0
表1-2 display user命令显示信息描述表
|
字段 |
描述 |
|
Name |
本地用户名 |
|
Display name |
用户别名 |
|
Reference count |
引用计数 |
|
Status |
用户启用状态 |
|
Account |
用户的认证方式 |
|
Identity control |
用户唯一性检查配置 |
|
Bind conut |
用户绑定地址条数和绑定地址配置 |
|
Attribute conut |
用户自定义属性个数 |
display user-group命令用来显示用户组。
【命令】
display user-group [ group-name ]
【视图】
用户视图
【参数】
group-name:用户组名,为1~127个字符的字符串,且不能包含“\/’”`”和空格。
【举例】
# 显示系统所有用户组。
host# display user-group
Name Flags Recogs Refs Bind Path
全部用户 G 0 3 0 /
本地用户结构 G 0 0 0 /
默认组 G 0 34 0 /本地用户结构
测试组 G 0 0 0 /本地用户结构
开发组 G 0 0 0 /本地用户结构
本地属性结构 G 0 0 0 /
表1-3 display user-group命令显示信息描述表
|
字段 |
描述 |
|
Name |
用户组名 |
|
Flags |
用户或用户组的标记,U代表用户,G代表用户组 |
|
Recogs |
用户组下在线用户数 |
|
Refs |
引用计数 |
|
Bind Path |
用户组路径 |
# 显示用户组group1。
host# display user-group group1
Name: group1
Description:
Reference count: 0
Member count: 1
Entry Members:
user1
表1-4 display user-group group-name命令显示信息描述表
|
字段 |
描述 |
|
Name |
用户组名 |
|
Description |
用户组描述 |
|
Reference count |
引用计数 |
|
Member count |
用户组内成员个数 |
|
Entry Members |
用户组内成员条目 |
display user-param命令用来显示用户识别属性。
【命令】
display user-param
【视图】
用户视图
【举例】
# 显示用户识别属性。
host# display user-param
Address Scope: private[Strict Mode]
Recognition threshold: 60000
Recognition minimum ttl: 120 seconds
Recognition maximum ttl: 1200 seconds
Local auth by password and bind range: disable
Online user priority: local
表1-5 display user-param命令显示信息描述表
|
字段 |
描述 |
|
Address Scope |
用户识别范围的地址对象名 |
|
[ mode ] |
用户识别的方式 |
|
Recognition threshold |
可识别用户的个数 |
|
Recognition minimum ttl |
识别老化时间的最小值 |
|
Recognition maximum ttl |
识别老化时间的最大值 |
|
Local auth by password and bind range |
绑定范围与密码同时校验 |
|
Online user priority |
在线用户优先级 |
display user-recognition命令用来显示本地已识别用户。
【命令】
display user-recognition [address {host A.B.C.D | name name | range A.B.C.D A.B.C.D} | authenticated | user name name [address { host A.B.C.D | name name | range A.B.C.D A.B.C.D }]]
【视图】
全局配置视图
【参数】
user name:只显示某个用户名的用户。
name:显示的用户名。
address:只显示地址为某种条件的用户。
host:只显示用户地址是某个地址的用户。
host-ip:用户地址。
range:只显示用户地址在某个地址范围内的用户。
start-ip:地址范围开始地址。
end-ip:地址范围结束地址。
name:只显示用户地址在某个地址对象范围内的用户。
address-name:地址对象名。
【举例】
# 显示本地已识别用户。
host# display user-recognition
Address Scope: any[Heuristic Mode]
Recognitions: 10000
Name Authentication Method IP MAC Status Online-StartTime Frozen-EndTime Flow-LastTime Terminal-Type
user1 static_bind 1.1.1.1 00:00:00:97:1c:7a 2022/07/16 06:00:01 2022/07/16 07:37:46 recognizing
116.209.148.219 anony 116.209.148.219 00:00:00:97:1c:7a 2022/07/16 07:52:39 2022/07/16 07:52:40 recognizing
表1-6 display user-recognition命令显示信息描述表
|
字段 |
描述 |
|
|
Address Scope |
用户识别范围的地址对象名 |
|
|
[ mode ] |
用户识别的方式 |
|
|
Recognitions |
已识别用户个数 |
|
|
Name |
识别的用户名 |
|
|
Authentication Method |
认证方式 |
|
|
Identity |
识别用户类型 |
|
|
anonymous |
匿名用户 |
|
|
static |
本地认证/静态绑定用户 |
|
|
mobile |
移动用户 |
|
|
IP |
用户登录地址 |
|
|
MAC |
用户登录mac地址 |
|
|
Status |
用户状态,是否被冻结 |
|
|
Online-StartTime |
用户登录的时间 |
|
|
Frozen-EndTime |
冻结结束时间 |
|
|
Flow-LastTime |
上一次流量经过时间 |
|
|
Terminal-Type |
终端型号 |
|
enable命令用来启用本地用户。
disbale命令用来禁用本地用户。
【命令】
enable
disable
【缺省情况】
缺省情况下,用户创建后是启用状态。
【视图】
用户配置视图
【举例】
# 禁用用户名为user1的用户。
host# system-view
host(config)# user user1
host(config-user)# disable
【相关命令】
· display user
enable identity_ctrl命令用来启用本地用户用户唯一性检查。
disbale identity_ctrl命令用来禁用本地用户用户唯一性检查。
【命令】
enable identity_ctrl
disbale identity_ctrl
【缺省情况】
缺省情况下,用户创建后用户唯一性检查是禁用状态。
【视图】
用户配置视图
【举例】
# 启用用户user1的用户唯一性检查。
HOST# system-view
HOST(config)# user user1
HOST(config-user)# enable identity_ctrl
【相关命令】
· user
· display user
login-single mode 命令用于配置用户唯一性检查为单一账号登录。
【命令】
login-single mode { kick-old | forbid-new }
【视图】
用户配置视图
【参数】
kick-old:该用户已登录,新用户登录时踢出已登录用户。
forbid-new :该用户已登录,禁止同名用户再次登录
【举例】
#配置用户user1用户唯一性检查为该用户登录后禁止同名用户再次登录。
HOST# system-view
HOST(config)# user user1
HOST(config-user)# enable identity_ctrl
HOST(config-user)# login-single mode forbid-new
【相关命令】
user
enable identity_ctrl
display user
login-multi number 命令用于配置用户唯一性检查为允许重复登录。
【命令】
login-multi number [ count ]
【视图】
用户配置视图
【参数】
count:允许同一个用户同时登录的次数,范围是2到1000次,如果不输入数字,缺省是无限制。
【举例】
#配置用户user1用户唯一性检查为允许重复登录且允许登录个数无限制。
HOST# system-view
HOST(config)# user user1
HOST(config-user)# enable identity_ctrl
HOST(config-user)# login-multi number
【相关命令】
user
enable identity_ctrl
attribute 命令用于配置用户自定义属性
【命令】
attribute KEY VALUE
【视图】
用户配置视图
【参数】
KEY:用户自定义属性名。
VALUE :用户自定义属性值。
【举例】
#配置用户user1自定义属性为地区为北京。
HOST# system-view
HOST(config)# user user1
HOST(config-user)# attribute 地区 北京
【相关命令】
user
display user
user-attribute
expire-set 命令用于设置账户过期时间。
【命令】
expire-set {YYYY-MM-DD | never-expire }
【视图】
用户配置视图
【参数】
YYYY-MM-DD:用户到期时间,超过此时间后,该用户即过期。
never-expire :该用户永不过期
【使用指导】
默认永不过期
【举例】
#配置用户user10的过期时间为2019年4月1日。
HOST# system-view
HOST(config)# user user10
HOST(config-user)# expire-set 2019-04-01
【相关命令】
user
user命令用来创建本地用户。
no user命令用来删除本地用户。
【命令】
user username
no user username
【缺省情况】
缺省情况下,存在一个any用户。
【视图】
系统视图
【参数】
username:用户名,为1~127个字符的字符串,且不能包含“\/’”`”和空格。
【使用指导】
该命令执行完后进入用户配置节点。
【举例】
# 创建用户名为user1的用户。
host# system-view
host(config)# user user1
host(config-user)#
【相关命令】
· display user
· display running-config user
user-group命令用来创建本地用户组。
no user-group命令用来删除本地用户组。
【命令】
user-group groupname
no user-group groupname
【缺省情况】
缺省情况下,存在一个anonymous用户组。
【视图】
系统视图
【参数】
groupname:用户组名,为1~63个字符的字符串,且不能包含“%!"#$&`*+,/:;<=>?\^'{}!”。
【使用指导】
该命令执行完后进入用户组配置节点。
【举例】
# 创建用户名为group1的用户。
host# system-view
host(config)# user-group group1
host(config-user-group)#
【相关命令】
· member
· match user
· display user-group
· display running-config user-group
user- attribute命令用来创建属性名称。
no user- attribute命令用来删除属性名称。
【命令】
user- attribute KEY
no user- attribute KEY
【缺省情况】
缺省情况下,属性名称为空。
【视图】
系统视图
【参数】
KEY:创建的属性的名称,为1~63个字符的字符串,且不能包含空格'"`/\。
【使用指导】
该命令执行完后进入属性配置节点。
【举例】
# 创建属性名称为地区的属性。
host# system-view
host(config)# user-attribute 地区
host(config-attribute)#
【相关命令】
· display user-attribute
· default-value
default-value命令用来创建属性值。
no default-value命令用来删除属性值。
【命令】
default-value VALUE
no default-value VALUE
【缺省情况】
缺省情况下,属性值为空。
【视图】
属性视图
【参数】
VALUE:创建的属性值,为1~63个字符的字符串,且不能包含空格'"`/\。一个属性名称最多支持对应128个属性值。
【使用指导】
该命令是在执行了user- attribute KEY后,进入属性视图下执行的,执行完后进入属性值配置节点。
【举例】
# 给属性名称为地区的属性创建属性值北京、武汉、上海。
host# system-view
host(config)# user-attribute 地区
host(config-attribute)# default-value 北京
host(config-attribute)# default-value 武汉
host(config-attribute)# default-value 上海
【相关命令】
· display user-attribute
· user- attribute
user-group NAME attribute命令用来创建本地属性组。
no user-group NAME attribute命令用来删除本地属性组。
description命令用来创建属性组描述。
no description命令用来删除属性组描述。
attribute命令用来创建属性组属性。
no attribute命令用来删除属性组属性。
【命令】
user-group NAME attribute
no user-group NAME attribute
description desc
no description desc
attribute key value
no attribute key value
【缺省情况】
缺省情况下,存在匿名用户、移动用户、认证方式、静默用户属性组。
【视图】
系统视图
【参数】
NAME:属性组名,为1~127个字符的字符串,且不能包含空格'"`/\。
desc:属性组描述,为0~127个字符的字符串。
key:属性组的属性名,为1~63个字符的字符串,且不能包含空格'"`/\。
value:属性组的属性值,为1~63个字符的字符串,且不能包含空格'"`/\。
【使用指导】
该命令是创建属性组,并为属性组添加自定义属性。
【举例】
# 创建名称为attr1的属性组,描述信息是武汉的测试,属性名是武汉,属性值是测试。
host# system-view
host(config)# user-group attr1 attribute
host(config-attribute-group)# description 武汉的测试
host(config-attribute-group)# attribute 武汉 测试
【相关命令】
· display running-config attribute-group
display user-attribute命令用来显示自定义属性。
【命令】
display user-attribute
【视图】
全局配置视图
【举例】
# 显示系统所有自定义属性。
host# display user-attribute
user-attribute 333
user-attribute 555
user-attribute 地区
default-value 北京
default-value 武汉
default-value 深圳
default-value 上海
default-value 广州
表1-7 display user- attribute命令显示自定义属性列表
|
字段 |
描述 |
|
user-attribute |
属性名 |
|
default-value |
属性值 |
# 显示属性名为地区的属性。
host# display user-attribute 地区
default-value 北京
default-value 武汉
default-value 深圳
default-value 上海
default-value 广州
表1-8 display user-attribute KEY命令显示自定义属性列表
|
字段 |
描述 |
|
default-value |
属性值 |
display attr-group命令用来显示属性组。
【命令】
display attr-group
【视图】
配置视图
【举例】
# 显示系统所有属性组。
host# display attr-group
Groups: 41
Flags: G-Group U-User D-Disabled
Name Flags Recogs Refs Bind Path
认证方式 G 0 0 0 /attribute
本地Web用户 G 0 0 0 /attribute/认证方式
LDAP用户 G 0 0 0 /attribute/认证方式
RADIUS用户 G 0 0 0 /attribute/认证方式
静态绑定用户 G 0 0 0 /attribute/认证方式
IPSec用户 G 0 0 0 /attribute/认证方式
SSLVPN用户 G 0 0 0 /attribute/认证方式
Web用户 G 0 0 0 /attribute/认证方式
Web用户同步 G 0 0 0 /attribute/认证方式
PPPOE监听用户 G 0 0 0 /attribute/认证方式
RADIUS监听用户 G 0 0 0 /attribute/认证方式
AAS用户 G 0 0 0 /attribute/认证方式
APP用户 G 0 0 0 /attribute/认证方式
代理用户 G 0 0 0 /attribute/认证方式
51aWiFi G 0 0 0 /attribute/认证方式
Portal-Server用户 G 0 0 0 /attribute/认证方式
钉钉用户 G 0 0 0 /attribute/认证方式
户 G 0 0 0 /attribute/认证方式
酒店会员认证用户 G 0 0 0 /attribute/认证方式
IC G 0 0 0 /attribute/认证方式
IMC用户 G 0 0 0 /attribute/认证方式
POP3用户 G 0 0 0 /attribute/认证方式
二维码用户 G 0 0 0 /attribute/认证方式
SAM用户 G 0 0 0 /attribute/认证方式
SMP用户 G 0 0 0 /attribute/认证方式
短信用户 G 0 0 0 /attribute/认证方式
SOLS用户 G 0 0 0 /attribute/认证方式
SRUN用户 G 0 0 0 /attribute/认证方式
用户 G 0 0 0 /attribute/认证方式
Telecom用户 G 0 0 0 /attribute/认证方式
微信用户 G 0 0 0 /attribute/认证方式
数用户 G 0 0 0 /attribute/认证方式
小程序用户 G 0 0 0 /attribute/认证方式
企业微信用户 G 0 0 0 /attribute/认证方式
空对象 G 0 0 0 /attribute
移动用户 G 0 0 0 /attribute
静默用户 G 0 0 0 /attribute
匿 G 0 0 0 /attribute
表1-9 display attr-group命令显示属性组列表
|
字段 |
描述 |
|
Name |
属性组名 |
|
Refs |
引用数 |
|
Path |
属性组路径 |
portal_pages_edit disable命令用来隐藏portal自定义页面按钮。
portal_pages_edit enable 命令用来显示portal自定义页面按钮。
【命令】
portal_pages_edit { enable | disable }
【缺省情况】
默认为隐藏portal自定义页面按钮。
【视图】
配置视图
【参数】
disable:隐藏portal自定义页面按钮。
enable:显示portal自定义页面按钮。
【使用指导】
该命令默认为隐藏portal自定义页面按钮,开启后显示portal自定义页面按钮,该命令为隐藏命令,需要手动输入完整命令才能生效,没有自动填充和联想功能。
【举例】
将portal自定义页面按钮显示再隐藏(默认隐藏)
HOST# system-view
HOST(config)# portal_pages_edit enable
HOST(config)# portal_pages_edit disable
【相关命令】
无
user-param auth命令用来启用和配置第三方认证。
no user-param auth命令用来禁用第三方认证。
【命令】
user-param auth { radius | ldap } name
user-param auth { radius | ldap } group name
no user-param auth
【缺省情况】
缺省情况下,第三方认证未开启,且未配置第三方认证服务器。
【视图】
用户配置视图
【参数】
name:第三方认证服务器名称,或者认证服务器组名称。
radius:第三方认证服务器为Radius服务器。
ldap:第三方认证服务器为Ldap服务器。
【使用指导】
第三方认证配置前,需要先在认证服务器配置中配置好Radius或Ldap认证服务器,或服务器组。然后在启用配置第三方认证时选择相应的认证服务器。
【举例】
# 配置第三方认证为Radius认证。
host# system-view
host(config)# radius-server test 192.168.1.103 test
host(config)# user-param auth radius test
【相关命令】
· display running-config user-param
user-param recognition命令用来修改用户识别属性。
no user-param recognition命令用来恢复用户识别属性。
【命令】
user-param recognition scope address-object { heuristic | strict }
no user-param recognition scope address-object
user-param threshold count
【缺省情况】
缺省情况下,用户识别的范围是地址对象private,方式是强制模式的,识别用户的个数是因设备内存大小不同会有差异。
(1)内存大于8G 的规格为130000;
(2)内存等于8G 的规格为70000;
(3)内存大于等于4G而小于8G的规格为40000;
(4)内存小于4G的规格为10000。
【视图】
用户配置视图
【参数】
address-object:设置的用户识别的地址对象或者地址组对象名称,为1~63个字符的字符串。
heuristic:启发式识别。
strict:强制识别。
count:识别用户上限,范围是5000~10000000。
【使用指导】
识别模式分为“启发模式”和“强制模式”两种。
· “启发模式”指的是,优先将属于识别范围的IP地址识别为用户,识别顺序是先识别会话中的源IP,再识别目的IP,如果源目IP都不属于识别范围会将源IP识别为用户。
· “强制模式”指的是,只有源IP或目的IP地址属于识别范围时,才会被识别为用户;否则不识别,该IP地址不进后续用户策略流程,不受用户策略限制,不会出现在在线用户当中。
【举例】
# 将所有私有地址private识别模式改为强制模式。
host# system-view
host(config)# user-param recognition scope private strict
【相关命令】
· display user
user-param threshold命令用来配置用户识别规格。
【命令】
user-param threshold <5000-10000000>
【缺省情况】
缺省情况下,设备已根据内存大小做了用户识别规格适配,不需要修改此配置。
(1)内存大于8G 的规格为130000;
(2)内存等于8G 的规格为70000;
(3)内存大于等于4G而小于8G的规格为40000;
(4)内存小于4G的规格为10000
【视图】
用户配置视图
【参数】
<5000-10000000>:规格最小为5000,最大为10000000。
【使用指导】
设备已根据内存大小做了用户识别规格适配,建议不要修改此配置。
【举例】
# 修改用户识别规格为10000。
host# system-view
host(config)# user-param threshold 10000
【相关命令】
· display user-param
user-policy proxy all-url disable命令用来关闭所有url消除告警。
user-policy proxy all-url enable 命令用来开启所有url消除告警。
【命令】
user-policy proxy all-url { enable | disable }
【视图】
用户配置视图
【参数】
disable:关闭命令功能。
enable:开启命令功能。
【使用指导】
该命令默认关闭,开启后将所有访问的URL都进行告警消除。
【举例】
# 将全部URL消除告警功能开启再关闭(默认关闭)
Host# system-view
Host(config)# user-policy proxy all-url enable
Host(config)# user-policy proxy all-url disable
【相关命令】
display running-config user-policy
user-policy https-portal-no-waring disable命令用来关闭https弹portal告警消除。
user-policy https-portal-no-waring enable 命令用来开启https弹portal告警消除。
【命令】
user-policy https-portal-no-waring { enable | disable }
【视图】
用户配置视图
【参数】
disable:关闭命令功能。
enable:开启命令功能。
【使用指导】
该命令默认关闭,开启后将https弹的portal告警进行消除。
【举例】
# 将https弹portal告警消除功能开启再关闭(默认关闭)
Host# system-view
Host(config)# user-policy https-portal-no-waring enable
Host(config)# user-policy https-portal-no-waring disable
【相关命令】
display running-config user-policy
user-policy https-portal limit-by-sni { enable | disable } 命令用来开启/关闭认证策略https弹portal请求报文过滤功能。
【命令】
user-policy https-portal limit-by-sni { enable | disable }
【缺省情况】
默认情况下关闭,关闭情况下认证策略对所有域名都进行https弹portal。
【视图】
config配置视图
【参数】
无
【使用指导】
开启此命令,认证策略只针对www开头或者一级域名进行https弹portal,其余的域名不进行portal推送。
【举例】
# 开启https弹portal请求报文过滤功能,只对www开头或者一级域名进行https弹portal。
Host# system-view
Host(config)# user-policy https-portal limit-by-sni enable
user-policy https-auth-no-waring disable命令用来关闭加密认证告警消除。
user-policy https-auth-no-waring enable 命令用来开启加密认证告警消除。
【命令】
user-policy https-auth-no-waring { enable | disable }
【视图】
用户配置视图
【参数】
disable:关闭命令功能。
enable:开启命令功能。
【使用指导】
该命令默认关闭,开启后将加密认证后弹出的告警进行消除。
【举例】
# 将加密认证告警消除功能开启再关闭(默认关闭)
Host# system-view
Host(config)# user-policy https-auth-no-waring enable
Host(config)# user-policy https-auth-no-waring disable
【相关命令】
display running-config user-policy
user-policy icmp permit { enable | disable } 命令用来开启/关闭认证策略是否放通ICMP流量功能。
【命令】
user-policy icmp permit { enable | disable }
缺省情况】
默认情况下开启,即开启认证策略后ICMP流量会放通。
【视图】
配置视图
【参数】
enable:开启认证策略放通ICMP流量功能。
disable:关闭认证策略放通ICMP流量功能。
【使用指导】
无。
【举例】
# 开启/关闭认证策略放通ICMP流量功能
Host# system-view
Host(config)# user-policy icmp permit enable
Host(config)# user-policy icmp permit disable
user-policy portal-cache-cert disable命令用来关闭证书缓存。
user-policy portal-cache-cert enable 命令用来开启证书缓存。
【命令】
user-policy portal-cache-cert {enable | disable}
【视图】
用户配置视图
【参数】
disable:关闭命令功能。
enable:开启命令功能。
【使用指导】
该命令默认开启,关闭后将取消证书缓存功能,消除告警改为通过ssl解密代理。
【举例】
# 将证书缓存功能关闭 再开启(默认开启)
Host# system-view
Host(config)# user-policy portal-cache-cert disable
Host(config)# user-policy portal-cache-cert enable
【相关命令】
display running-config user-policy
user-auth virtual-address disable命令用来关闭虚拟地址。
user-auth virtual-address enable 命令用来开启虚拟地址。
【命令】
user-auth virtual-address { enable | disable }
【视图】
配置视图
【参数】
disable:关闭虚拟地址功能。
enable:开启虚拟地址功能。
【使用指导】
该命令默认关闭,开启后,弹出的认证Portal页面地址显示为配置的虚拟地址。
仅对本机的认证Portal页面(Portal地址为设备接口地址的认证页面)生效,从而实现对设备真实接口地址进行隐藏。
该功能不支持旁路部署模式。
【举例】
# 开启虚拟地址功能
Host# system-view
Host(config)# user-auth virtual-address enable
# 关闭虚拟地址功能
Host(config)# user-auth virtual-address disable
【相关命令】
display running-config user-param
user-auth virtual-address A.B.C.D 命令用来配置虚拟地址。
【命令】
user-auth virtual-address A.B.C.D
【视图】
配置视图
【参数】
A.B.C.D:虚拟地址,IPv4地址。
【使用指导】
支持IPv4单播地址。
虚拟地址不能与终端PC及设备地址配置为同一网段,否则将无法弹出认证页面。
【举例】
# 开启虚拟地址功能,配置虚拟地址
Host# system-view
Host(config)# user-auth virtual-address enable
Host(config)# user-auth virtual-address 1.2.3.4
【相关命令】
display running-config user-policy
user-auth flow-pass type命令用来配置流量放通的模式,分为放通所有流量与放通指定流量,默认设置为放通指定流量。
【命令】
user-auth flow-pass type { all | specific }
【视图】
系统视图
【参数】
all:放通所有流量。
specific:放通指定流量。
【使用指导】
放通指定流量是指临时放通微信认证、钉钉认证、企业微信认证、CAS认证、OAUTH认证等五种认证方式的认证流量。放通所有流量是指临时放通所有的流量,不管是认证的流量还是其他流量都直接放通。
【举例】
# 配置放通所有流量
Host# configure terminal
Host(config)# user-auth flow-pass mode all
# 配置放通指定流量
Host(config)# user-auth flow-pass mode specific
【相关命令】
无
user-auth flow-pass-time命令用来配置放通流量的时长。
【命令】
user-auth flow-pass-time <20-180>
【视图】
系统视图
【参数】
<20-180>:配置时长单位为秒,范围为20-180秒。
【使用指导】
根据实际使用情况,配置流量放通的时长。
【举例】
# 配置放通流量的时长为60s
Host(config)# user-auth flow-pass-time 60
【相关命令】
无
user-auth whitelist 命令用来配置具体的自定义认证方式白名单。
【命令】
user-auth whitelist { wechat | dingtalk | wxwork | cas | oauth } HOST
no user-auth whitelist { wechat | dingtalk | wxwork | cas | oauth } HOST
【视图】
系统视图
【参数】
wechat:微信认证
dingtalk:钉钉认证
wxwork:企业微信认证
cas:CAS认证方式
oauth:oauth认证方式
HOST:白名单内容(域名或者IP地址)。
【使用指导】
根据实际使用情况,配置要放通认证流量的域名或者IP地址。
【举例】
# 配置钉钉认证放通www.exampletest.com这个域名的流量。
HOST(config)# user-auth whitelist dingtalk www.exampletest.com
# 配置微信认证放通10.1.1.1这个IP的流量。
HOST(config)# user-auth whitelist wechat 10.1.1.1
# 删除微信认证放通10.1.1.1这个IP流量的配置。
HOST(config)# no user-auth whitelist wechat 10.1.1.1
【相关命令】
# 清空所有认证方式或者某种认证方式配置的自定义白名单。
clear user-auth whitelist config { all | wechat | dingtalk | wxwork | cas | oauth }
# 查看所有认证方式或者某种认证方式配置的自定义白名单。
display user-auth whitelist config { all | wechat | dingtalk | wxwork | cas | oauth }
clear user-auth whitelist config { all | wechat | dingtalk | wxwork | cas | oauth } 命令用来清除白名单的缓存列表。
display user-auth whitelist config { all | wechat | dingtalk | wxwork | cas | oauth } 命令用来查看白名单的缓存列表。
【命令】
clear user-auth whitelist config { all | wechat | dingtalk | wxwork | cas | oauth }
display user-auth whitelist config { all | wechat | dingtalk | wxwork | cas | oauth }
【视图】
系统视图
【参数】
all:所有认证方式。
wechat:微信认证。
dingtalk:钉钉认证。
wxwork:企业微信认证。
cas:CAS认证方式。
oauth:oauth认证方式。
【使用指导】
认证流量命中了认证方式白名单之后,会将该IP地址加入到缓存列表中从而达到放通该流量的目的。该命令用来查看或者清除白名单的缓存列表。
【举例】
# 查看所有认证方式的白名单缓存列表
HOST# display user-auth whitelist cache all
# 清除钉钉认证方式的白名单缓存列表
HOST# clear user-auth whitelist cache dingtalk
【相关命令】
无
user-policy命令用来创建用户策略。
no user-policy命令用来删除用户策略。
【命令】
user-policy { if_in | any } { if_out | any } { sip | any } { dip | any } { schedule | always } {free-webauth|sms-webauth|mix-webauth|local-webauth|portal-server-webauth|wechat-webauth|sso-no-authen-ip|sso-match-other | qrcode-webauth | iccd-webauth | mini-program-webauth | wxwork-webauth } {enable | disable } name {group | no-record} { PERIOD | forever | once } [.DESCRIPTION]
no user-policy id
【缺省情况】
缺省情况下,没有启用用户策略。
【视图】
系统视图
【参数】
if_in:流量入接口。
any:任何接口。
if_out:流量出接口。
any:任何接口:
sip:源地址匹配的地址对象或对象组。
any:任何源地址。
dip :目的地址匹配的地址对象或对象组。
any:任何目的地址。
schedule :配的时间对象。
always:任何时间。
free-webauth :用户通过免认证方式后,流量才可以放通。
sms-webauth :用户通过短信认证方式后,流量才可以放通。
mix-webauth :通过混合认证方式后,流量才可以放通。
local-webauth:用户必须通过WEB认证后,流量才可以放通。
portal-server-webauth:用户必须通过portal认证后,流量才可以放通。
wechat-webauth:用户必须通过微信认证后,流量才可以放通。
sso-no-authen-ip:用户必须通过单点登录认证后,流量才可以放通,若认证失败直接以IP上线。
sso-match-other:用户必须通过单点登录认证后,流量才可以放通,若认证失败继续匹配策略。
qrcode-webauth:用户必须通过二维码认证后,流量才可以放通。
iccd-webauth:用户必须通过IC卡认证后,流量才可以放通。
mini-program-webauth:用户必须通过第三方小程序认证后,流量才可以放通。
wxwork-webauth:用户必须通过企业微信认证后,流量才可以放通。
enable:启用该策略。
disable:不启用该策略。
name:配置策略名称。
group:选择用户录入组,格式:group1/group2/。
PERIOD:用户录入有效时间节点,格式:YYYY-MM-DD。
forever:用户录入永久有效。
once:用户临时录入。
no-record:不录入用户。
[.DESCRIPTION]:描述信息。
【使用指导】
用户在策略匹配时有顺序要求,一般按照显示的顺序从上到下匹配。
【举例】
# 创建配置所有通过设备的流量必须通过WEB认证。
host# system-view
host(config)# user-policy any any any any always local-webauth enable test-web no-record forever
【相关命令】
· display user-policy
user-policy move命令用来调整用户策略的匹配顺序。
【命令】
user-policy move id { head | tail | { before | after } compare-id }
【视图】
系统视图
【参数】
id:给要调整的用户策略id号,范围是1到65535,缺省从1开始自动排列。
head:将用户策略的匹配顺序到放到最前面。
tail:将用户策略的匹配顺序到放到最后面。
before:将用户策略的匹配顺序发到某条策略之前。
after:将用户策略的匹配顺序发到某条策略之后。
compare-id:before和after使用时的基准策略id,范围是1~65535。
【使用指导】
用户策略的匹配时有顺序的,一般按照显示的顺序从上到下匹配。
【举例】
# 将用户策略100调整到用户策略2之后。
host# system-view
host(config)# user-policy move 100 after 2
【相关命令】
· display user-policy
user-policy whitelist 命令用来创建 认证策略白名单。
no user- policy whitelist 命令用来删除创建 认证策略白名单。
【命令】
user-policy whitelist {exclude host | host} HOST
【缺省情况】
缺省情况下, 没有配置域名白名单。
【视图】
系统视图
【参数】
exclude:白名单排除地址,可以设置为IP或域名。
host:白名单地址,可以设置为IP或域名。
【使用指导】
配置认证策略后,配置认证策略白名单(非排除)如baidu.com, PC访问www.baidu.com弹认证页面;配置认证策略白名单(排除)如news.baidu.com,PC访问news.baidu.com,弹出认证页面。
【举例】
# 缺省情况下,创建认证策略白名单(非排除)baidu.com和认证策略白名单(排除)news.baidu.com。
host# system-view
host(config)# user-policy whitelist host baidu.com
host(config)# user-policy whitelist exclude host news.baidu.com
【相关命令】
· display user-policy whitelist
· display running-config user-policy
user-policy user-whitelist命令用来配置认证全局白名单。
no user-policy user-whitelist 命令用来删除认证全局白名单。
【命令】
user-policy user-whitelist{A.B.C.D|A.B.C.D/M}
no user-policy user-whitelist{A.B.C.D|A.B.C.D/M}
【缺省情况】
缺省情况下, 没有配置认证全局白名单。
【视图】
系统视图
【参数】
A.B.C.D:全局白名单IP。
A.B.C.D/M:全局白名单IP地址段。
【使用指导】
全局认证白名单针对所有认证方式都生效,配置为全局白名单的用户不需要认证即可访问网络。
【举例】
# 将192.168.2.128和192.168.1.0/24加入认证全局白名单。
host# system-view
host(config)# user-policy user-whitelist 192.168.2.128
host(config)# user-policy user-whitelist 192.168.1.0/24
【命令】
bind ipmac 命令用来开启认证策略的ip-mac绑定。
no bind ipmac命令用来关闭认证策略的ip-mac绑定。
【视图】
认证策略配置视图
【参数】
无
【使用指导】
开启/关闭认证策略的ip-mac绑定。
【举例】
# 开启/关闭认证策略的ip-mac绑定
Host# system-view
Host(config)# user-policy id 1
Host(config)# bind ipmac
Host(config)# no bind ipmac
【相关命令】
无
【命令】
record-user bind preiod TIME 命令用来设置录入用户绑定ip、mac期限。
no record-user bind preiod命令用来不设置录入用户绑定ip、mac期限。
【视图】
认证策略配置视图
【参数】
TIME:录入用户绑定ip、mac期限,单位为天,范围为1-30天。
【举例】
设置录入用户绑定ip、mac期限为10天
Host# system-view
Host(config)# user-policy id 1
Host(config)# record-user bind preiod 10
Host(config)# no record-user bind preiod
【相关命令】
无
move命令用于移动用户认证策略的先后顺序。
【命令】
move {before <1-65535>| after <1-65535> | head | tail}
【视图】
用户认证策略视图。
【参数】
before:将目标策略移动至某一个策略ID之前。
after:将目标策略移动至某一个策略ID之后。
head:将目标策略移动至所有策略之前。
tail:将目标策略移动至所有策略之后。
【使用指导】
用户认证策略是顺序匹配的,如果某用户同时符合2个认证策略,那么该用户会优先匹配ID比较靠前的策略。
【举例】
#将策略1移动到最前面
HOST(config)# user-policy 1
HOST(config-user-policy)# move head
HOST(config-user-policy)#
【相关命令】
display user-policy
【命令】
record-user bind { ip | mac } 开启认证策略录入用户mac或者ip。
no record-user bind { ip | mac } 关闭认证策略录入用户mac或者ip。
【视图】
认证策略配置视图
【参数】
无
【举例】
开启或者关闭认证策略录入用户mac或者ip
Host# system-view
Host(config)# user-policy id 1
Host(config)# record-user bind ip
Host(config)# no record-user bind ip
Host(config)# record-user bind mac
Host(config)# no record-user bind mac
【相关命令】
无
timeout 命令用于配置认证策略的超时时间。
no timeout 命令用于删除认证策略的超时时间配置。
【命令】
timeout<1-144000>
no timeout
【视图】
用户认证策略视图。
【参数】
<1-144000>:认证策略超时时间,单位为分钟,缺省不启用。
【使用指导】
配置认证策略的超时时间后,在时间段内没有流量设备会强制用户下线。
认证策略的超时时间优先级高于认证方式的超时时间。
【举例】
#配置认证策略的超时时间
HOST(config)# user-policy 1
HOST(config-user-policy)# timeout 60
【相关命令】
display user-policy
force-timeout命令用于配置认证策略的强制重登录时间。
no force-timeout命令用于删除认证策略的强制重登录时间配置。
【命令】
force-timeout<1-144000>
no force-timeout
【视图】
用户认证策略视图。
【参数】
<1-144000>:认证策略强制重登录时间,单位为分钟,缺省不启用。
【使用指导】
配置认证策略的强制重登录间隔后,从用户登录时间开始,超时后用户将会被强制下线。
认证策略强制重登录时间优先级高于认证方式强制重登录时间。
【举例】
#配置认证策略的超时时间
HOST(config)# user-policy 1
HOST(config-user-policy)# force-timeout 480
【相关命令】
display user-policy
display user-policy命令用来显示用户策略。
【命令】
display user-policy查看用户认证策略。
display user-policy user-whitelist 查看用户认证白名单。
display user-policy whitelist 查看用户认证白名单。
【视图】
用户视图
【举例】
# 显示用户策略。
host(config)# display user-policy
---------------------------------------------------------------------------------------
ID In-interface Out-interface Source-address Dest-address Schedul Action
----------------------------------------------------------------------------------------
1 any any any any always local-webauth
表1-10 display user-policy命令显示信息描述表
|
字段 |
描述 |
|
ID |
用户策略的ID号 |
|
In-interface |
匹配流量入接口 |
|
Out-interface |
匹配流量出接口 |
|
Source-address |
匹配流量源地址 |
|
Dest-address |
匹配流量目的地址 |
|
Schedule |
匹配流量时间组 |
|
Action |
匹配的流量的执行动作 |
|
permit |
匹配用户的流量直接放行 |
|
local-webauth |
用户必须通过WEB认证后,流量才可以通过 |
|
portal-server-webauth |
用户必须通过portal认证后,流量才可以通过 |
two-factor-auth { enable | disable }命令用于启用/关闭二次认证功能。
disable 关闭二次认证功能,默认是关闭。
【命令】
two-factor-auth { enable | disable }
【视图】
用户认证策略视图
【缺省情况】
默认是关闭。
【参数】
enable:开启二次认证功能。
disable:关闭二次认证功能。
【使用指导】
无
【举例】
#开启二次认证功能。
HOST(config)# user-policy 1
host(config-user-policy)# two-factor-auth enable
# 关闭二次认证功能。
HOST(config)# user-policy 1
host(config-user-policy)# two-factor-auth disable
【相关命令】
display running-config
two-factor-auth type { local-webauth | sms-webauth } 命令用于配置二次认证的认证方式。
【命令】
two-factor-auth type { local-webauth | sms-webauth }
【视图】
用户认证策略视图
【参数】
local-webauth:二次认证类型选择本地认证。
sms-webauth:二次认证类型选择短信认证。
【使用指导】
无
【举例】
#二次认证类型选择本地认证。
HOST(config)# user-policy 1
host(config-user-policy)# two-factor-auth type local-webauth
# 二次认证类型选择短信认证。
HOST(config)# user-policy 1
host(config-user-policy)# two-factor-auth type sms-webauth
【相关命令】
display running-config
authenticate命令用来配置用户的认证方式。
【命令】
authenticate local password change-password {enable | disable}
【缺省情况】
缺省情况下,没有配置用户认证。
【视图】
用户配置视图
【参数】
local:启用本地认证。
password:本地认证的密码,为6~31个字符的字符串。
change-password:是否允许用户修改密码
enable:允许用户修改密码
disable:不允许用户修改密码
【使用指导】
认证方式要用no authenticate命令删除。
【举例】
# 配置用户user1使用本地认证,密码是123456,不允许修改密码。
host# system-view
host(config)# user user1
host(config-user)# authenticate local 123456 change-password disable
【相关命令】
· display user
user-webauth without-awareness enable 命令用来开启本地WEB认证无感知功能。
user-webauth without-awareness disable命令用来关闭本地WEB认证无感知功能。
【命令】
user-webauth without-awareness {enable|disable|timeout}
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启无感知功能。
disable:关闭无感知功能。
timeout:无感知功能超时时间,范围是1~144000,单位是分钟,缺省为10080分钟。
【使用指导】
当用户认证登录以后,设备会记录用户的MAC地址,加入无感知表,在超时时间范围内,用户下次再次上线设备先查询无感知表,查询到已记录的MAC后直接认证自动完成认证上线,实现无感知功能。
【举例】
# 开启本地WEB认证无感知功能,并设置无感知功能超时时间为7200分钟。
host# system-view
host(config)# user-webauth without-awareness enable
host(config)# user-webauth without-awareness timeout 7200
user-webauth force-logout enable [ timeout ] 命令用来配置WEB强制重新认证时间。
user-webauth force-logout disable [ timeout ]命令用来关闭WEB强制重新认证时间。
no user-webauth force-logout命令用来恢复WEB强制重新认证时间默认配置。
【命令】
user-webauth force-logout { enable | disable } [ timeout ]
no no user-webauth force-logout
【缺省情况】
缺省情况下,不启用WEB强制重新认证。
【视图】
系统视图
【参数】
timeout:WEB强制重新认证时间,范围是1~144000,单位是分钟,缺省不启用。
【使用指导】
当用户登录以后,即使用户一直在线,在设定的时间长度之后,也必须重新登录。
【举例】
# 设置WEB强制重新认证时间为60分钟。
host# system-view
host(config)# user-webauth force-logout enable 60
user-webauth hello-url 命令用来配置WEB认证重定向URL。
no user-webauth hello-url命令用来关闭WEB认证重定向。
【命令】
user-webauth hello-url { enable | disable } url
no user-webauth hello-url
【缺省情况】
缺省情况下,不启用WEB认证重定向。
【视图】
系统视图
【参数】
url:WEB认证重定向的URL地址,为1~127个字符的字符串。
【举例】
# 设置WEB认证重定向到www.abc.com。
host# system-view
host(config)# user-webauth hello-url enable http://www.abc.com
user-webauth enable timeout命令用来配置WEB心跳间隔时间。
user-webauth timeout disable命令用来关闭超时时间。
no user-webauth timeout命令用来恢复超时时间的默认配置。
【命令】
user-webauth timeout {enable|disable} timeout
no user-webauth keepalive-timeout
【缺省情况】
缺省情况下,心跳间隔时间是15分钟。
【视图】
系统视图
【参数】
timeout:WEB心跳间隔时间,范围是1到144000,单位是分钟,缺省是15分钟。
【举例】
# 设置心跳间隔时间为30分钟。
host# system-view
host(config)# no user-webauth traffic-alive
host(config)# user-webauth keepalive-timeout enable 30
user-webauth login-multi命令用来允许同一个用户名登录同时登录多次。
【命令】
user-webauth login-multi number [ count ]
【缺省情况】
缺省情况下,不允许同一个用户同时登录多次。
【视图】
系统视图
【参数】
count:允许同一个用户同时登录的次数,范围是2到1000次,如果不输入数字,缺省是无限制。
【举例】
# 设置WEB认证允许同一用户名在同时无限次登录。
host# system-view
host(config)# user-webauth login-multi number
user-webauth login-single命令用来限制用户同时只能登录一次。
【命令】
user-webauth login-single mode { kick-old | forbid-new }
【缺省情况】
缺省情况下,用户同时只能登录一次,缺省策略是踢出老用户。
【视图】
系统视图
【参数】
kick-old:新用户会踢出老用户。
forbid-new:禁止老用户登录。
【举例】
# 配置用户同时只能登录一次,新用户登录会踢出老用户。
host# system-view
host(config)# user-webauth login-single mode kick-old
user-webauth traffic-alive命令用来配置用户老化方式为流量超时老化。
no user-webauth traffic-alive 命令用于配置用户老化方式为心跳超时老化。
【命令】
user-webauth traffic-alive
no user-webauth traffic-alive
【缺省情况】
缺省情况下,用户老化方式为心跳超时老化。
【视图】
系统视图
【参数】
无
【举例】
# 配置用户老化方式为流量超时老化,超时时间为15分钟。
host# system-view
host(config)# user-webauth traffic-alive
host(config)#
user-free命令用于配置免认证用户跳转方式。
【命令】
user-free { jump-access-web | jump-auth-web | jump-redirect-web URL }
【视图】
系统视图
【参数】
jump-access-web:跳转到之前访问的网页
jump-auth-web:跳转到认证成功网页
jump-redirect-web:跳转到指定URL页面
【缺省情况】
默认跳转到之前访问的网页。
【举例】
HOST(config)# user-free jump-redirect-web http://www.baidu.com
HOST(config)#
【相关命令】
display running-config
user-free timeout enable命令用来配置免认证方式用户超时老化时间。
user-free timeout disabe命令用来配置关闭免认证方式用户超时老化时间。
no user-free timeout命令用来恢复超时时间默认配置。
【命令】
user- free timeout { enable | disable } [ timeout ]
【缺省情况】
缺省情况下,用户老化超时时间为15分钟。
【视图】
系统视图
【参数】
timeout:范围1-144000,单位分钟,缺省15分钟
【举例】
# 配置免认证用户超时老化时间为10分钟。
host# system-view
host(config)# user-free timeout enable 10
user-free force-logout enable 命令用来配置免认证方式用户强制重登录时间。
user-free force-logout disabe命令用来配置关闭免认证方式用户强制重登录时间。
no user-free force-logout命令用来恢复用户强制重登录默认配置。
【命令】时间
user-free force-logout { enable | disable } [<1-144000>]
【缺省情况】
缺省情况下,不启用强制重新认证。
【视图】
系统视图
【参数】
<1-144000>:范围1-144000,单位分钟,缺省不启用。
【使用指导】
当用户登录以后,即使用户一直在线,在设定的时间长度之后,也必须重新登录。
【举例】
# 配置免认证用户强制重登录时间为100分钟。
host# system-view
host(config)# user-free force-logout enable 100
user-imc imc-web-auth命令用于配置IMC认证对接。
【命令】
user-imc imc-web-auth log-name name1 real-name name2 ip A.B.C.D [group-name name3]
【视图】
系统视图
【参数】
name1:用户登录名
name2:用户实际名称
A.B.C.D:IMC服务器的IP地址
name3:团体名。
【缺省情况】
默认无该配置
【使用指导】
设备上的配置需要和IMC服务器的配置一致。
【举例】
HOST(config)# user-imc imc-web-auth log-name AAA real-name BBB ip 1.1.1.1 group-name CCC
HOST(config)#
【相关命令】
user-imc port
user-imc port 用于配置IMC上的对接端口。
【命令】
user-imc port <1-65535>
【视图】
系统视图
【参数】
<1-65535>:IMC服务器上配置的端口号。
【缺省情况】
缺省情况没有配置。
【举例】
HOST# system-view
HOST(config)# user-imc port 2001
【相关命令】
user-imc timeout
user-imc timeout命令用于修改IMC用户的超时时间。
【命令】
user-imc timeout {< 10-144000 > | infinite }
【视图】
系统视图。
【参数】
< 10-144000 >:超时时间。
infinite:设置为不超时。
【缺省情况】
缺省情况下为30。
【举例】
HOST# system-view
HOST(config)# user-imc timeout infinite
HOST(config)#
【相关命令】
user-imc port
user-mix命令用于配置混合认证用户跳转方式。
【命令】
user-mix { jump-access-web | jump-auth-web | hello-url {enable | disable} URL }
【视图】
系统视图
【参数】
jump-access-web:跳转到之前访问的网页
jump-auth-web:跳转到认证成功网页
hello-url:跳转到指定URL页面
【缺省情况】
默认跳转到认证成功页面。
【举例】
HOST(config)# user-mix hello-url enable http://www.baidu.com
HOST(config)#
【相关命令】
display running-config
【命令】
first-auth命令用来配置混合认证首选认证方式。
no first-auth命令用来关闭混合认证首选认证方式。
【视图】
认证策略配置视图
【参数】
无
【使用指导】
配置/关闭混合认证策略的首选认证方式。
【举例】
# 配置混合认证策略的首选认证方式为钉钉认证,关闭混合认证策略的首选认证方式
Host# system-view
Host(config)# user-policy id 1
Host(config)# first-auth dingtalk
Host(config)# no first-auth
【相关命令】
无
user-sms timeout命令用来配置短信认证方式用户超时老化时间。
no user-sms timeout命令用来取消超时时间。
【命令】
user- sms timeout timeout
【缺省情况】
缺省情况下,用户超时老化时间为15分钟。
【视图】
系统视图
【参数】
timeout:范围10-144000,单位分钟,缺省15分钟
【举例】
# 配置短信认证用户超时老化时间为10分钟。
host# system-view
host(config)# user-sms timeout 10
user-sms without-awareness enable 命令用来开启短信认证无感知功能。
user-sms without-awareness disable命令用来关闭短信认证无感知功能。
【命令】
user-sms without-awareness {enable|disable|timeout}
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启无感知功能。
disable:关闭无感知功能。
timeout:无感知功能超时时间,范围是10~144000,单位是分钟,缺省为10080分钟。
【使用指导】
当用户认证登录以后,设备会记录用户的MAC地址,加入无感知表,在超时时间范围内,用户下次再次上线设备先查询无感知表,查询到已记录的MAC后直接认证自动完成认证上线,实现无感知功能。
【举例】
# 开启短信认证无感知功能,并设置无感知功能超时时间为7200分钟。
host# system-view
host(config)# user-sms without-awareness enable
host(config)# user-sms without-awareness timeout 7200
user-sms code timeout命令用来配置短信验证码超时时间。
【命令】
user- sms code timeout { 60 | 90 | 120 | 150 | 180 }
【缺省情况】
缺省情况下,验证码超时时间为180秒。
【视图】
系统视图
【参数】
60:短信认证验证码超时时间是60秒。
90:短信认证验证码超时时间是90秒。
120: 短信认证验证码超时时间是120秒。
150:短信认证验证码超时时间是150秒。
180:短信认证验证码超时时间是180秒。
【举例】
# 配置短信认证验证码超时时间为60秒。
host# system-view
host(config)# user-sms code timeout 60
user-wechat timeout enable命令用来配置用户超时时间。
user-wechat timeout disable命令用来关闭用户超时时间。
no user-wechat timeout命令用来恢复用户超时时间默认配置。
【命令】
user-wechat timeout { enable | disable } timeout
no user-wechat timeout
【缺省情况】
缺省情况下,用户超时时间默认为15分钟。
【视图】
系统视图
【参数】
timeout:在线用户超时时间,范围是1~144000,单位是分钟,缺省15分钟。
【举例】
# 配置用户超时时间为20分钟。
host# system-view
host(config)# user-wechat timeout enable 20
user-wechat force-logout enable [ timeout ] 命令用来配置微信强制重新认证时间。
user-wechat force-logout disable [ timeout ]命令用来关闭微信强制重新认证时间
no user-wechat force-logout命令用来恢复WEB强制重新认证时间默认配置。
【命令】
user-wechat force-logout { enable | disable } [ timeout ]
no user-wechat force-logout
【缺省情况】
缺省情况下,不启用微信强制重新认证。
【视图】
系统视图
【参数】
timeout:微信强制重新认证时间,范围是1~144000,单位是分钟,缺省不启用。
【使用指导】
当用户登录以后,即使用户一直在线,在设定的时间长度之后,也必须重新登录。
【举例】
# 设置微信强制重新认证时间为60分钟。
host# system-view
host(config)# user-webauth force-logout enable 60
user-wechat name-type命令用来配置用户名类型。
【命令】
user-wechat name-type { ip | openid | phone_number }
【缺省情况】
缺省情况下,用户名类型默认为IP地址。
【视图】
系统视图
【参数】
ip:用户名为用户的IP地址。
openid:为加密后的微信号,每个用户对每个公众号的OpenID是唯一的。对于不同公众号,同一用户的OpenID不同。
phone_number:为用户注册微信的手机号码。
【举例】
# 配置用户名为openid。
host# system-view
host(config)# user-wechat name-type openid
user-wechat official-acct-name 命令用来配置微信公众号名称。
【命令】
user-wechat official-acct-name STRING
【缺省情况】
缺省情况下,未配置微信公众号名称。
【视图】
系统视图
【参数】
STRING:微信公众号名称,从公众平台申请微信公众号。
【举例】
# 配置公众号名称为testname。
host# system-view
host(config)# user-wechat official-acct-name testname
user-wechat appid命令用来微信公众号应用id。
【命令】
user-wechat appid STRING
【缺省情况】
缺省情况下,未配置微信公众号appid。
【视图】
系统视图
【参数】
STRING:应用id,从公众平台获取。
【举例】
# 配置微信应用id为wxa921dcce3f9ea198。
host# system-view
host(config)# user-wechat appid wxa921dcce3f9ea198
user-wechat appsecret命令用来配置微信公众号应用密钥。
【命令】
user-wechat appsecret STRING
【缺省情况】
缺省情况下,未配置微信公众号appsecret。
【视图】
系统视图
【参数】
STRING:应用密钥,从公众平台获取。
【举例】
# 配置微信应用密钥为86691be59b208d489111429f75f7f678。
host# system-view
host(config)# user-wechat appsecret 86691be59b208d489111429f75f7f678
user-wechat user-wechat auth-step 命令用来配置认证步骤说明。
【命令】
user-wechat auth-step STRING
【缺省情况】
缺省情况下,默认认证步骤说明是“请点击认证菜单进行微信认证”。
【视图】
系统视图
【参数】
STRING:认证步骤说明,默认认证步骤说明是“请点击认证菜单进行微信认证”,用户可以根据自己公众号的配置进行自定义配置。
【举例】
# 配置微信认证步骤说明为:请点击“微信认证”菜单进行认证。
host# system-view
host(config)# user-wechat auth-step 请点击“微信认证”菜单进行认证
user-wechat auth-url命令用来配置微信认证URL。
【命令】
user-wechat auth-url URL
【缺省情况】
缺省情况下,未配置认证URL。
【视图】
系统视图
【参数】
URL:不能配置为已经存在的URL,只能配置为无法访问的URL,例如:http://www.exampletesturl123.com/test;不支持https。
【举例】
# 设置auth-url地址为:http://www.exampletesturl123.com/test
host# system-view
host(config)# user-wechat auth-url http://www.exampletesturl123.com/test
user-wechat without-awareness enable 命令用来开启本地WEB认证无感知功能。
user- wechat without-awareness disable命令用来关闭本地WEB认证无感知功能。
【命令】
user- wechat without-awareness {enable|disable|timeout}
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启无感知功能。
disable:关闭无感知功能。
timeout:无感知功能超时时间,范围是1~144000,单位是分钟,缺省为10080分钟。
【使用指导】
当用户认证登录以后,设备会记录用户的MAC地址,加入无感知表,在超时时间范围内,用户下次再次上线设备先查询无感知表,查询到已记录的MAC后直接认证自动完成认证上线,实现无感知功能。
【举例】
# 开启本地WEB认证无感知功能,并设置无感知功能超时时间为7200分钟。
host# system-view
host(config)# user-wechat without-awareness enable
host(config)# user-wechat without-awareness timeout 7200
user-wechat white-list 命令用来配置微信认证白名单。
no user-wechat white-list 命令用来删除微信认证白名单。
【命令】
user-wechat white-list {A.B.C.D|A.B.C.D/M}
【缺省情况】
缺省情况下, 没有配置微信认证白名单。
【视图】
系统视图
【参数】
A.B.C.D:白名单IP。
A.B.C.D/M:白名单IP地址段。
【使用指导】
微信认证白名单只针对微信认证方式生效,其它认证方式白名单可通过配置全局白名单实现。
微信认证白名单对混合认证中的微信认证不生效。
【举例】
# 将192.168.2.128和192.168.1.0/24加入微信认证白名单。
host# system-view
host(config)# user-wechat white-list 192.168.2.128
host(config)# user-wechat white-list 192.168.1.0/24
user-wechat flow-pass-time 命令用来配置流量放通时间。
【命令】
user-wechat flow-pass-time <20-180>
【缺省情况】
缺省情况下,流量放通时间为60秒。
【视图】
系统视图
【参数】
<20-180>:流量放通时间,范围是20~180,单位是秒,缺省为60秒。
【使用指导】
微信认证流量放通时间是指弹出微信认证页面后点击打开微信,流量开始放通,默认流量放通时间为60秒,用户可以通过命令调整放通时间为20~180s。
【举例】
# 将流量放通时间调整为90s。
host# system-view
host(config)# user-wechat flow-pass-time 90
user-qrcode without-awareness enable 命令用来开启本地二维码认证无感知功能。
user-qrcode without-awareness disable命令用来关闭本地二维码认证无感知功能。
【命令】
user-qrcode without-awareness {enable|disable|timeout}
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启无感知功能。
disable:关闭无感知功能。
timeout:无感知功能超时时间,范围是1~144000,单位是分钟,缺省为10080分钟。
【使用指导】
当用户认证登录以后,设备会记录用户的MAC地址,加入无感知表,在超时时间范围内,用户下次再次上线设备先查询无感知表,查询到已记录的MAC后直接认证自动完成认证上线,实现无感知功能。
【举例】
# 开启本地二维码认证无感知功能,并设置无感知功能超时时间为7200分钟。
host# system-view
host(config)# user-qrcode without-awareness enable
host(config)# user-qrcode without-awareness timeout 7200
user-qrcode qrcode-timeout命令用来配置二维码失效时间。
no user-qrcode qrcode-timeout命令用来恢复心跳间隔时间的默认配置。
【命令】
user-qrcode qrcode-timeout timeout
no user-qrcode qrcode-timeout
【缺省情况】
缺省情况下,二维码失效时间是2分钟。
【视图】
系统视图
【参数】
timeout:二维码超时时间,范围是2~10,单位是分钟。
【举例】
# 设置二维码失效时间为3分钟。
host# system-view
host(config)# user-qrcode qrcode-timeout 3
user-qrcode timeout enable命令用来配置二维码认证流量超时时间。
no user-qrcode timeout命令用来关闭二维码认证流量超时时间。
【命令】
user-qrcode timeout enable timeout
no user-qrcode timeout
【缺省情况】
缺省情况下,流量超时时间是15分钟。
【视图】
系统视图
【参数】
timeout:二维码认证超时时间,范围是1~144000,单位是分钟。
【举例】
# 设置二维码认证流量超时时间为17分钟。
host# system-view
host(config)# user-qrcode enable timeout 17
user-qrcode force-logout enable命令用来配置二维码认证强制登出时间。
no user-qrcode force-logout命令用来关闭二维码认证强制登出时间。
【命令】
user-qrcode force-logout enable
【缺省情况】
缺省情况下,默认不开启二维码认证强制登出时间。
【视图】
配置视图
【举例】
#配置二维码认证强制登出时间为10分钟。
host# system-view
host(config)# user-qrcode force-logout enable 10
user-qrcode jump-access-web 命令用来配置二维码认证成功后跳转回之前访问的页面。
【命令】
user-qrcode jump-access-web
【缺省情况】
缺省情况下,二维码认证成功后回跳转回之前访问的页面。
【视图】
系统视图
【举例】
#二维码认证成功后回跳转回之前访问的页面。
host# system-view
host(config)# user-qrcode jump-access-web
user-qrcode jump-auth-web命令用来配置二维码认证成功后转到认证成功页面。
【命令】
user-qrcode jump-auth-web
【视图】
系统视图
【举例】
# 设置二维码认证成功后转到认证成功页面。
host# system-view
host(config)# user-qrcode jump-auth-web
user-qrcode jump-redirect-web命令用来重定向二维码认证成功后的网页。
【命令】
user-qrcode jump-redirect-web url
【缺省情况】
缺省情况下,没有配置重定向url。
【视图】
系统视图
【参数】
url:可输入1-127字符http/https前缀的url,且只能设置一条url。
【举例】
# 配置二维码认证后重定向url到http://www.1123.com。
host# system-view
host(config)# user-qrcode jump-redirect-web http://www.1123.com
user-qrcode auditor命令用来配置二维码认证审核人。
【命令】
user-qrcode auditor name
【缺省情况】
缺省情况下,审核人为any。
【视图】
系统视图
【参数】
name:用户或用户组名称
【举例】
# 配置二维码认证审核人为用户组默认组。
host# system-view
host(config)# user-qrcode auditor /本地用户结构/默认组
# 配置二维码认证审核人为用户Sale-wangxin。
host# system-view
host(config)# user-qrcode auditor Sale-wangxin
user-qrcode audit-type命令用来配置二维码认证的审核方式。
【命令】
user-qrcode audit-type{indirectly|directly | selfdefine }
【缺省情况】
缺省情况下,为indirectly方式。
【视图】
系统视图
【参数】
Indirectly:弹出审核页面,审核人备注并授权。
directly:不弹审核页面,以审核人身份登录。
selfdefine:访客填写用户信息,审核人扫吗,授权访客上线。
【举例】
# 配置二维码认证审核方式为indirectly。
host# system-view
host(config)# user-qrcode audit-type indirectly
# 配置二维码认证审核方式为directly。
host# system-view
host(config)# user-qrcode audit-type directly
#配置二维码认证审核方式为Selfdefine
host# system-view
host(config)# user-qrcode audit-type Selfdefine
user-ic-card timeout enable命令用来配置IC卡认证用户超时下线时间。
no user- ic-card timeout命令用来恢复IC卡认证用户超时下线时间的默认配置。
【命令】
user-ic-card timeout enable timeout
no user-ic-card timeout
【缺省情况】
缺省情况下,IC卡认证用户超时下线时间是15分钟。
【视图】
系统视图
【参数】
timeout:IC卡认证用户超时下线时间,范围是1-144000分钟,单位是分钟。
【举例】
# 设置IC卡认证用户超时下线时间为30分钟。
host# system-view
host(config)# user-ic-card timeout enable 30
user-ic-card force-logout enable命令用来配置IC卡认证用户强制登出时间。
no user-ic-card force-logout命令用来恢复IC卡认证用户强制登出时间为默认时间。
【命令】
user-ic-card force-logout enable <1-144000>
no user-ic-card timeout
【缺省情况】
缺省情况下,默认不开启IC卡认证强制登出时间。
【视图】
系统视图
【参数】
<1-144000>:IC卡认证用户超时下线时间,范围是1-144000分钟,单位是分钟。不配置超时时间时,默认是480分钟。
【举例】
# 设置IC卡认证用户强制登出时间为60分钟。
host# system-view
host(config)# user-ic-card force-logout enable 60
user-ic-card local-check disable 命令用来关闭IC卡本地校验。
user-ic-card local-check enable 命令用来开启IC卡本地校验。
【命令】
user-ic-card local-check { enable | disable }
【视图】
系统视图
【参数】
disable关闭命令功能。
enable开启命令功能。
【使用指导】
该命令默认关闭,开启后将执行IC卡本地校验功能。
【举例】
# 将IC卡本地校验功能开启再关闭(默认关闭)
HOST# system-view
HOST(config)# user-ic-card local-check enable
HOST(config)# user-ic-card local-check disable
【相关命令】
无
clear user-ic-card info命令用来清除本地IC卡卡号信息。
【命令】
clear user-ic-card info
【视图】
系统视图
【参数】
无
【使用指导】
该命令用来清除本地IC卡卡号信息。
【举例】
# 将IC卡卡号信息清除
HOST# system-view
HOST(config)# clear user-ic-card info
【相关命令】
无
user-app timeout命令用来配置APP认证用户超时下线时间。
no user-app timeout命令用来配置APP认证用户超时下线时间为默认值。
【命令】
user-app timeout timeout
no user-app timeout
【缺省情况】
缺省情况下,APP认证失效时间是15分钟。
【视图】
系统视图
【参数】
timeout:APP认证用户超时下线时间,范围是10-144000,单位是分钟。
【举例】
# 设置APP认证用户超时下线时间为10分钟。
host# system-view
host(config)# user-app timeout 10
user-app without-awareness enable 命令用来开启APP认证无感知功能。
user-app without-awareness disable命令用来关闭APP认证无感知功能。
【命令】
user-app without-awareness {enable|disable|timeout}
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启无感知功能。
disable:关闭无感知功能。
timeout:无感知功能超时时间,范围是10~144000,单位是分钟,缺省为10080分钟。
【使用指导】
当用户认证登录以后,设备会记录用户的MAC地址,加入无感知表,在超时时间范围内,用户下次再次上线设备先查询无感知表,查询到已记录的MAC后直接认证自动完成认证上线,实现无感知功能。
【举例】
# 开启APP认证无感知功能,并设置无感知功能超时时间为7200分钟。
host# system-view
host(config)# user-app without-awareness enable
host(config)# user-app without-awareness timeout 7200
user-app { enable | disable }命令用来开启/关闭APP认证识别。
【命令】
user-app { enable | disable }
【缺省情况】
缺省情况下关闭。
【视图】
系统视图
【参数】
enable:开启APP认证识别功能。
disable:关闭APP认证识别功能。
【举例】
# 开启APP认证识别。
host# system-view
host(config)# user-app enable
user-app server ip A.B.C.D命令用来设置放通APP服务器的IP地址。
no user-app server ip A.B.C.D命令用来删除已设置的放通APP服务器的IP地址。
【命令】
user-app server ip A.B.C.D
no user-app server ip A.B.C.D
【视图】
系统视图
【参数】
A.B.C.D:服务器的IP地址。
user-app server host命令用来设置放通APP服务器的域名。
no user-app server host命令用来删除已设置的放通APP服务器的域名。
【命令】
user-app server host HOST
no user-app server host HOST
【视图】
系统视图
【参数】
HOST:服务器的域名。
user-app name-rule { first | second } name-start STRING name-end STRING 命令设置APP用户名提取特征。
no app name-rule { first | second }命令用来删除APP用户名提取特征。
【命令】
user-app name-rule { first | second } name-start STRING name-end STRING
no app name-rule { first | second }
【视图】
系统视图
【参数】
first:配置用户名特征提取规则一
second:配置用户名特征提取规则二
name-start:用户名起始特征
name-end:用户名结束特征
user-app download { android | ios | pc } URL 命令设置APP下载地址。
no user-app download { android | ios | pc } 命令用来删除APP下载地址。
【命令】
user-app download { android | ios | pc }
no user-app download { android | ios | pc }
【视图】
系统视图
【参数】
android:安卓下载。
ios:苹果下载。
pc:电脑下载。
URL:下载地址。
user-pop3 timeout命令用来配置pop3认证用户超时下线时间。
no user-pop3 timeout命令用来配置pop3认证用户超时下线时间为默认值。
【命令】
user-pop3 timeout timeout
no user-pop3 timeout
【缺省情况】
缺省情况下,pop3认证失效时间是15分钟。
【视图】
系统视图
【参数】
timeout:pop3认证用户超时下线时间,范围是10-144000,单位是分钟。
【举例】
# 设置pop3认证用户超时下线时间为10分钟。
host# system-view
host(config)# user-pop3 timeout 10
user-pop3 without-awareness enable 命令用来开启pop3认证无感知功能。
user-pop3 without-awareness disable命令用来关闭pop3认证无感知功能。
【命令】
user-pop3 without-awareness {enable|disable|timeout}
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启无感知功能。
disable:关闭无感知功能。
timeout:无感知功能超时时间,范围是10~144000,单位是分钟,缺省为10080分钟。
【使用指导】
当用户认证登录以后,设备会记录用户的MAC地址,加入无感知表,在超时时间范围内,用户下次再次上线设备先查询无感知表,查询到已记录的MAC后直接认证自动完成认证上线,实现无感知功能。
【举例】
# 开启pop3认证无感知功能,并设置无感知功能超时时间为7200分钟。
host# system-view
host(config)# user-pop3 without-awareness enable
host(config)# user-pop3 without-awareness timeout 7200
user-pop3 { jump-access-web | jump-auth-web | user-pop3 jump-redirect-web URL }
命令用来配置POP3认证成功后跳转页面。
【命令】
user-pop3 { jump-access-web | jump-auth-web | user-pop3 jump-redirect-web URL }
【缺省情况】
jump-access-web
【视图】
配置视图
【参数】
jump-access-web:跳转到认证之前访问页面。
jump-auth-web:停留在认证页面。
jump-redirect-web:跳转到指定页面.
URL:跳转到指定页面的URL地址。
【举例】
#设置停留在认证页面
Host# configure terminal
Host(config)# user-pop3 jump-auth-web
user-pop3 { auth-server | auth-group } 命令用来配置POP3认证服务器。
【命令】
user-pop3 { auth-server | auth-group }NAME
【视图】
系统视图
【参数】
auth-server:认证服务器为指定POP3服务器。
auth-group:认证服务器为指定POP3服务器组。
NAME:认证服务器/服务器组的名称。
user-dingtalk { enable | disable }命令用来启用、禁用钉钉配置。
【命令】
user-dingtalk { enable | disable }
【缺省情况】
缺省情况下关闭。
【视图】
系统视图
【参数】
enable:启用。
disable:禁用。
【举例】
# 启用钉钉认证。
host# system-view
host(config)# user-dingtalk enable
【相关命令】
display user-dingtalk config
user-dingtalk命令用来配置钉钉认证用户超时下线时间。
no user-dingtalk timeout命令用来配置钉钉认证用户超时下线时间为默认值。
【命令】
user-dingtalk timeout timeout
no user-dingtalk timeout
【缺省情况】
缺省情况下,钉钉认证失效时间是15分钟。
【视图】
系统视图
【参数】
timeout:钉钉认证用户超时下线时间,范围是10-144000,单位是分钟。
【举例】
# 设置钉钉认证用户超时下线时间为10分钟。
host# system-view
host(config)# user-dingtalk timeout 10
user-dingtalk { jump-access-web | jump-auth-web | user-pop3 jump-redirect-web URL }
命令用来配置钉钉认证成功后跳转页面。
【命令】
user-dingtalk { jump-access-web | jump-auth-web | user-pop3 jump-redirect-web URL }
【缺省情况】
jump-access-web
【视图】
配置视图
【参数】
jump-access-web:跳转到认证之前访问页面。
jump-auth-web:停留在认证页面。
jump-redirect-web:跳转到指定页面.
URL:跳转到指定页面的URL地址。
【举例】
#设置停留在认证页面
Host# configure terminal
Host(config)# user-dingtalk jump-auth-web
【相关命令】
display user-dingtalk config
user-dingtalk callbackaddr STRING命令用来设置钉钉认证的回调地址。
no user-dingtalk callbackaddr STRING命令用来删除钉钉认证的回调地址。
【命令】
user-dingtalk callbackaddr STRING
no user-dingtalk callbackaddr
【视图】
系统视图
【参数】
STRING:回调地址字符串。
user-dingtalk appid STRING命令用来设置钉钉认证的appid。
【命令】
user-dingtalk appid STRING
【视图】
系统视图
【参数】
STRING:从认证服务器获取的appid字符串。
【相关命令】
display user-dingtalk config
user-dingtalk appsecret STRING命令用来设置钉钉认证的appsecret。
【命令】
user-dingtalk appsecret STRING
【视图】
系统视图
【参数】
STRING:从认证服务器获取的appsecret字符串。
user-dingtalk enterpriseid STRING命令用来设置钉钉认证的enterpriseid(企业id)。
【命令】
user-dingtalk appid STRING
【视图】
系统视图
【参数】
STRING:从认证服务器获取的enterpriseid(企业id)字符串。
user-dingtalk sync-group { enable | disable }命令用来配置是否获取用户所属组。
【命令】
user-dingtalk sync-group { enable | disable }
【视图】
系统视图
【参数】
enable:获取。
disable:不获取。
【相关命令】
display user-dingtalk config
user-dingtalk group-path STRING命令用来设置钉钉认证获取用户所属组时用户组在本地所创建的路径。
【命令】
user-dingtalk group-path STRING
【视图】
系统视图
【参数】
STRING:本地创建用户组的路径信息字符串。
user-dingtalk appkey STRING命令用来设置钉钉认证获取用户所属组时的appkey。
【命令】
user-dingtalk appkey STRING
【视图】
系统视图
【参数】
STRING:从认证服务器获取的appkey字符串。
【相关命令】
display user-dingtalk config
user-mini-program timeout命令用来 配置第三方小程序认证无流量时的超时下线时间。
【命令】
user-mini-program timeout <10-144000>
【缺省情况】
缺省值为15分钟。
【视图】
config视图
【参数说明】
<10-14400>:配置范围为10-14400 单位为分钟。
【举例】
#配置认证用户无流量时的超时下线时间。
Host(config)# user-mini-program timeout 10
user-mini-program key 命令用来配置第三方小程序认证加密密钥。
【命令】
user-mini-program key STRING
【视图】
config视图
【参数解释】
STRING:加密密钥的字符串。
【举例】
#配置认证加密密钥。
Host(config)# user-mini-program key TFYZA0JYB2FKMJAYMDEYMTEJZ9YZ
user-wxwork enable命令用来启用企业微信认证服务。
user-wxwork disable 命令用来禁用企业微信认证服务。
【命令】
user-wxwork { enable|disable }
【视图】
system-view;
【参数】
disable:禁用命令功能。
enable:启用命令功能。
【使用指导】
该命令默认关闭,开启后企业微信认证配置生效。
【举例】
将企业微信认证功能开启再关闭(默认关闭)
HOST# system-view
HOST(config)#
HOST(config)# user-wxwork enable
HOST(config)#
HOST(config)# user-wxwork disable
【相关命令】
无
user-wxwork timeout <10-144000> 命令用来配置用户超时时间。
no user-wxwork timeout 命令用来恢复用户默认超时时间。
【命令】
user-wxwork timeout <10-144000>
no user-wxwork timeout
【视图】
system-view
【参数解释】
<10-144000>:用户超时时间。
【使用指导】
配置用户超时时间和恢复用户超时时间。
【举例】
#配置用户超时时间,恢复用户超时时间。
HOST# system-view
HOST(config)#
HOST(config)# user-wxwork timeout 300
HOST(config)# no user-wxwork timeout
user-wxwork jump-access-web 命令用来配置认证成功后跳转到之前访问的页面。
user-wxwork jump-auth-web 命令用来配置认证成功后认证成功的页面。
user-wxwork jump-redirect-web URL 命令用来配置认证成功后跳转到指定页面。
【命令】
user-wxwork jump-access-web
user-wxwork jump-auth-web
user-wxwork jump-redirect-web URL
【视图】
system-view
【参数解释】
无。
【使用指导】
配置认证成功后的跳转页面。
【举例】
#配置认证成功后的跳转页面,跳转到之前访问的页面,认证成功页面,之前访问的页面。
HOST# system-view
HOST(config)# user-wxwork jump-access-web
HOST(config)# user-wxwork jump-auth-web
HOST(config)# user-wxwork jump-redirect-web https://www.qq.com
user-wxwork callbackaddr STRING 命令用来配置回调地址。
user-wxwork appid STRING 命令用来配置appid。
user-wxwork appsecret STRING 命令用来配置appsecret。
user-wxwork agentid STRING 命令用来配置企业ID。
【命令】
user-wxwork callbackaddr STRING
user-wxwork appid STRING
user-wxwork appsecret STRING
user-wxwork agentid STRING
【视图】
system-view
【参数解释】
无。
【使用指导】
配置接口参数。
【举例】
#配置回调地址、appid、appsecret 、企业ID。
HOST# system-view
HOST(config)# user-wxwork callbackaddr http://lfgtest.com:8000
HOST(config)# user-wxwork appid ww2086a22148c83532
HOST(config)# user-wxwork appsecret 2_7P7UXz5rHPAuDTS4aiI7ahNyD2ftPNWXHJd0spwGY
HOST(config)# user-wxwork agentid 1000
user-wxwork sync-group { enable | disable } 命令用来配置自动获取所属组。
【命令】
user-wxwork sync-group enable 配置开启自动获取所属组。
user-wxwork sync-group disable 配置关闭自动获取所属组。
【视图】
system-view
【参数解释】
无。
【使用指导】
配置自动获取所属组。
【举例】
#配置开启、关闭自动获取所属组。
HOST# system-view
HOST(config)# user-wxwork sync-group enable
HOST(config)# user-wxwork sync-group disable
user-oauth auth-server NAME命令用来配置OAUTH认证的认证服务器。
no user-oauth auth-server命令用来取消OAUTH认证的认证服务器选择
【命令】
user-oauth auth-server NAME
no user-oauth auth-server
【视图】
系统视图
【参数】
NAME:OAUTH服务器名称。
【使用指导】
配置OAUTH认证的认证服务器。
【举例】
#配置OAUTH认证的认证服务器
HOST# system-view
HOST(config)# user-oauth auth-server test_oauth
HOST(config)#
【相关命令】
无
user-oauth timeout enable <1-144000> 命令用来配置OAUTH认证用户超时时间。
no user-oauth timeout 命令用来恢复OAUTH认证用户默认超时时间。
【命令】
user-oauth timeout enable <1-144000>
no user-oauth timeout
【视图】
系统视图
【参数解释】
<1-144000>:用户超时时间。
【使用指导】
配置用户超时时间和恢复用户超时时间。
默认用户超时时间为启用,15分钟。
【举例】
#配置用户超时时间,恢复用户超时时间。
HOST# system-view
HOST(config)# user-oauth timeout enable 30
HOST(config)# no user-oauth timeout
HOST(config)#
【相关命令】
无
user-oauth force-logout enable <1-144000>配置用户强制重登录间隔时间
no user-oauth force-logout恢复用户强制重登录间默认配置
【命令】
user-oauth force-logout enable <1-144000>
no user-oauth force-logout
【视图】
系统视图
【参数解释】
<1-144000>:用户强制重登录间隔。
【使用指导】
配置用户强制重登录间隔和恢复用户强制重登录间隔。
默认强制重登录间隔为禁用。
【举例】
#配置用户强制重登录间隔,恢复用户强制重登录间隔。
HOST# system-view
HOST(config)# user-oauth force-logout enable 100
HOST(config)# no user-oauth force-logout
【相关命令】
无
user-oauth without-awareness enable 命令用来启用/禁用OAUTH认证无感知。
【命令】
user-oauth without-awareness { enable | disable }
【视图】
系统视图
【参数解释】
enable:启用功能。
disable:禁用功能。
【使用指导】
启用和禁用OAUTH认证无感知功能。
【举例】
#启用OAUTH认证无感知功能,再禁用OAUTH认证无感知功能。
HOST# system-view
HOST(config)# user-oauth without-awareness enable
HOST(config)# user-oauth without-awareness disable
【相关命令】
无
user-oauth without-awareness timeout <1-144000> 命令用来配置用户无感知时间。
【命令】
user-oauth without-awareness timeout <1-144000>
【视图】
系统视图
【参数解释】
<1-144000>:用户无感知时间范围。
【使用指导】
配置用户无感知时间。
【举例】
#启用OAUTH认证无感知,配置无感知时间为100分钟。
HOST# system-view
HOST(config)# user-oauth without-awareness enable
HOST(config)# user-oauth without-awareness timeout 100
【相关命令】
user-oauth without-awareness enable
user-oauth { jump-access-web | jump-auth-web | jump-redirect-web URL }
命令用来配置OAUTH认证成功后跳转页面。
【命令】
user-oauth { jump-access-web | jump-auth-web | jump-redirect-web URL }
【视图】
系统视图
【参数解释】
jump-access-web:跳转到认证之前访问页面。
jump-auth-web:停留在认证页面。
jump-redirect-web:跳转到指定页面.
URL:跳转到指定页面的URL地址。
【使用指导】
配置认证成功后的跳转页面。
【举例】
#配置认证成功后的跳转页面:跳转到之前访问的页面;认证成功页面;指定的页面。
HOST# system-view
HOST(config)# user-oauth jump-access-web
HOST(config)# user-oauth jump-auth-web
HOST(config)# user-oauth jump-redirect-web https://www.example.com
【相关命令】
无
display running-config user-oauth 命令用来查看OAUTH认证配置。
【命令】
display running-config user-oauth
【视图】
用户视图
【参数解释】
无
【使用指导】
查看OAUTH认证配置。
【举例】
#查看OAUTH认证配置。
HOST# display running-config user-oauth
!user-oauth
user-oauth auth-server test_oauth
user-oauth timeout enable 30
user-oauth force-logout enable 600
user-oauth jump-redirect-web https://www.example.com
user-oauth without-awareness enable
user-oauth without-awareness timeout 60
!
【相关命令】
无
display user-oauth config命令用来查看OAUTH认证配置。
【命令】
display user-oauth config
【视图】
用户视图
【参数解释】
无
【使用指导】
查看OAUTH认证配置。
【举例】
#查看OAUTH认证配置。
HOST# display user-oauth config
!user-oauth
user-oauth auth-server test_oauth
user-oauth timeout enable 30
user-oauth force-logout enable 600
user-oauth jump-redirect-web https://www. example.com
user-oauth without-awareness enable
user-oauth without-awareness timeout 60
!
【相关命令】
无
user-cas auth-server命令用来配置CAS认证的认证服务器。
no user-cas auth-server命令用来取消CAS认证的认证服务器选择。
【命令】
user-cas auth-server NAME
no user-cas auth-server
【视图】
系统视图
【参数】
NAME:CAS服务器名称。
【使用指导】
配置CAS认证的认证服务器。
【举例】
配置CAS认证的认证服务器
HOST# system-view
HOST(config)# user-cas auth-server test_cas
HOST(config)#
【相关命令】
无
user-cas timeout enable命令用来配置CAS认证用户超时时间。
no user-cas timeout 恢复CAS认证用户默认超时时间
【命令】
user-cas timeout enable <1-144000>
no user-cas timeout
【视图】
系统视图
【参数解释】
<1-144000>:用户超时时间。
【使用指导】
配置用户超时时间和恢复用户超时时间。
默认用户超时时间为启用,15分钟。
【举例】
#配置用户超时时间,恢复用户超时时间。
HOST# system-view
HOST(config)# user-cas timeout enable 30
HOST(config)# no user-cas timeout
HOST(config)#
【相关命令】
无
user-cas force-logout enable 命令用来配置CAS认证用户强制重登录间隔时间。
no user-cas force-logout 恢复CAS认证用户强制重登录间默认配置。
【命令】
user-cas force-logout enable <1-144000>
no user-cas force-logout
【视图】
系统视图
【参数解释】
<1-144000>:用户强制重登录间隔。
【使用指导】
配置用户强制重登录间隔和恢复用户强制重登录间隔。
默认强制重登录间隔为禁用。
【举例】
#配置用户强制重登录间隔,恢复用户强制重登录间隔。
HOST# system-view
HOST(config)# user-cas force-logout enable 100
HOST(config)# no user-cas force-logout
【相关命令】
无
user-cas without-awareness { enable | disable } 命令用来启用/禁用CAS认证无感知。
【命令】
user-cas without-awareness { enable | disable }
【视图】
系统视图
【参数解释】
enable:启用功能。
disable:禁用功能。
【使用指导】
启用和禁用CAS认证无感知功能。
【举例】
#启用CAS认证无感知功能,再禁用CAS认证无感知功能。
HOST# system-view
HOST(config)# user-cas without-awareness enable
HOST(config)# user-cas without-awareness disable
【相关命令】
无
user-cas without-awareness timeout 命令用来配置CAS认证用户无感知时间。
【命令】
user-cas without-awareness timeout <1-144000>
【视图】
系统视图
【参数解释】
<1-144000>:用户无感知时间范围。
【使用指导】
配置用户无感知时间。
【举例】
#启用CAS认证无感知,配置无感知时间为100分钟。
HOST# system-view
HOST(config)# user-cas without-awareness enable
HOST(config)# user-cas without-awareness timeout 100
【相关命令】
user-cas without-awareness enable
user- cas { jump-access-web | jump-auth-web | jump-redirect-web URL }
命令用来配置CAS认证成功后跳转页面。
【命令】
user cas { jump-access-web | jump-auth-web | jump-redirect-web URL }
【视图】
系统视图
【参数解释】
jump-access-web:跳转到认证之前访问页面。
jump-auth-web:停留在认证页面,即认证成功的页面。
jump-redirect-web:跳转到指定页面.
URL:跳转到指定页面的URL地址。
【使用指导】
配置认证成功后的跳转页面。
【举例】
#配置认证成功后的跳转页面,跳转到之前访问的页面,认证成功页面,指定的页面。
HOST# system-view
HOST(config)# user-cas jump-access-web
HOST(config)# user-cas jump-auth-web
HOST(config)# user-cas jump-redirect-web https://www.example.com
【相关命令】
无
display running-config user-cas 查看CAS认证配置。
【命令】
display running-config user-cas
【视图】
用户视图
【参数解释】
无
【使用指导】
查看CAS认证配置。
【举例】
#查看CAS认证配置。
HOST# display running-config user-cas
!user-cas
user-cas auth-server test_cas
user-cas timeout disable 15
user-cas force-logout enable 480
user-cas jump-access-web
user-cas without-awareness enable
!
【相关命令】
无
display user-cas config查看CAS认证配置
【命令】
display user-cas config
【视图】
用户视图
【参数解释】
无
【使用指导】
查看CAS认证配置
【举例】
#查看CAS认证配置。
HOST# display user-cas config
!user-cas
user-cas auth-server test_cas
user-cas timeout disable 15
user-cas force-logout enable 480
user-cas jump-access-web
user-cas without-awareness enable
!
【相关命令】
无
bindtype命令用来配置LDAP服务器绑定类型及用户、密码。
【命令】
bindtype { simple user name passwd password }
【视图】
LDAP配置视图
【参数】
simple:绑定类型为简单。
user:配置用户名。
name:用户名,为1~128个字符的字符串。
passwd:配置密码。
password:密码,为1~16个字符的字符串。
【举例】
# 配置LDAP服务器server2的用户名为ldap1,密码为123456。
host# system-view
host(config)# ldap server2
host(config-ldap)# bindtype simple user ldap1 passwd 123456
【相关命令】
· ldap
· cnid
· dn
· filter
cnid命令用来配置通用名称。
【命令】
cnid cnid
【视图】
LDAP配置视图
【参数】
cnid:通用标识名,为1~4个字符的字符串。
【举例】
# 配置LDAP服务器server2的通用标识名为cn。
host# system-view
host(config)# ldap server2
host(config-ldap)# cnid cn
【相关命令】
· ldap
· bindtype
· dn
· filter
display radius-server命令用来显示系统中配置的服务器。
【命令】
display radius-server [ servername ]
【视图】
用户视图
【参数】
servername:要显示的服务器名字,为1~256个字符的字符串。
【举例】
host# display radius-server
# 显示系统内所有的RADIUS服务器。
Radius-Server Name Secret IP Address Port Reference Count
aaa ****** 1.1.1.1 1812 1
12312 ***** 2.2.2.2 1812 0
server1 ****** 1.1.1.1 1812 0
Total radius-servers : 3
表1-11 display radius-server命令显示信息描述表
|
字段 |
描述 |
|
Radius-Server Name |
RADIUS服务器名称 |
|
Secret |
服务器密码,已经加密 |
|
IP Address |
服务器地址 |
|
Port |
服务器端口 |
|
Reference Count |
引用计数 |
|
Total radius-servers |
系统内RADIUS服务器个数 |
display server-group命令用来显示配置的服务器组。
【命令】
display server-group [ groupname ]
【视图】
用户视图
【参数】
groupname:要显示的服务组名称,为1-256个字符的字符串。
【举例】
# 显示系统所有的服务器组。
host(config)# display server-group
Group Name Type Mode Imprint_Clean Access_Security Rule Refer_Count
bbbb firewall 1
dddd firewall 0
group2 firewall 0
Total groups : 3
表1-12 display server-group命令显示信息描述表
|
字段 |
描述 |
|
Group Name |
服务器组名称 |
|
Type |
服务器组类型 |
|
Refer_Count |
引用计数 |
|
Total groups |
系统内服务器组的个数 |
# 显示RADIUS服务器组bbbb和LDAP服务器组group2。
host(config)# display server-group bbbb
Group Name Type Mode Imprint_Clean Access_Security Rule Refer_Count User List
bbbb firewall 1 123
1 user in group (bbbb)
Group Name Type Mode Refer_Count Radius-server List
bbbb firewall 1 aaa
radius-server in group (bbbb)
host(config)# display server-group group2
Group Name Type Mode Imprint_Clean Access_Security Rule Refer_Count User List
group2 firewall 0
0 user in group (group2)
Group Name Type Mode Refer_Count Ldap-server List
group2 firewall 0 server2
1 ldap-server in group (group2
表1-13 display server-group groupname 命令显示信息描述表
|
字段 |
描述 |
|
Group Name |
服务器组名称 |
|
Type |
服务器组类型 |
|
Refer_Count |
引用计数 |
|
Total groups |
服务器组的个数 |
|
User List |
使用此服务器组认证的用户列表 |
|
Radius-server List |
服务器组内RADIUS服务器列表 |
|
Ldap-server |
服务器组内LDAP服务器列表 |
dn命令用来配置LDAP服务器区别名。
【命令】
dn dn
【视图】
LDAP配置视图
【参数】
dn:区别名,为1~128个字符的字符串。
【举例】
# 配置LDAP服务器server2的区别名为OU=users,OU=test, DC=com。
host# system-view
host(config)# ldap server2
host(config-ldap)# dn OU=users,OU=test,DC=com
【相关命令】
· ldap
· bindtype
· cnid
· filter
tls命令用来配置LDAP服务器加密。
【命令】
tls { disable | enable }
【视图】
LDAP配置视图
【参数】
enable:开启tls加密。
disable:关闭tls加密。
【举例】
# 配置LDAP服务器tls 加密。
host# system-view
host(config)# ldap server2
host(config-ldap)# tls enable
【相关命令】
· ldap
· bindtype
· cnid
· tls
page-search命令用来配置LDAP服务器是否开启分页搜索功能。
【命令】
page-search { disable | enable }
【视图】
LDAP配置视图
【参数】
enable: 开启分页搜索。
disable: 关闭分页搜索。
【举例】
# 配置LDAP服务器 分页搜索功能。
host# system-view
host(config)# ldap server2
host(config-ldap)# page-search enable
【相关命令】
· ldap
· bindtype
· cnid
· tls
· page-size
page-size命令用来配置LDAP服务器分页大小。
no page-size 命令用来配置LDAP服务器分页大小无限制。
【命令】
page-size <100-800>
【视图】
LDAP配置视图
【参数】
<100-800>:配置分页大小,指一次同步的用户组的个数,配置范围为100-800。
【举例】
# 配置LDAP服务器 分页搜索、页面大小。
host# system-view
host(config)# ldap server2
host(config-ldap)# page-search enable
host(config-ldap)# page-size 800
【相关命令】
· ldap
· bindtype
· cnid
· tls
· page-search
ldap命令用来配置LDAP服务器地址。
【命令】
ldap server-ip port
【视图】
LDAP配置视图
【参数】
server-ip:LDAP服务器地址。
port:LDAP服务器端口,范围是1~65535,缺省389。
【举例】
# 配置LDAP服务器server2的地址为2.2.2.2。
host# system-view
host(config)# ldap server2
host(config-ldap)# ldap 2.2.2.2 389
【相关命令】
· ldap
· bindtype
· cnid
· dn
ldap命令用来创建和管理LDAP服务器。
no ldap命令用来删除和管理LDAP服务器。
【命令】
ldap name [ group groupname ]
no ldap name [ group groupname ]
【缺省情况】
缺省情况下,没有配置LDAP服务器。
【视图】
系统视图
【参数】
name:LDAP服务器名称,为1~63个字符的字符串。
group将服务器加入到LDAP组中。
groupname:LDAP服务器要加入的服务器组名称,为1~63个字符的字符串。
【使用指导】
创建LDAP服务器后,会进入LDAP配置视图。
【举例】
# 创建名字为server2的LDAP服务器。
host# system-view
host(config)# ldap server2
host(config-ldap)#
【相关命令】
· ldap
· bindtype
· cnid
· dn
radius-server命令用来配置或管理RADIUS服务器。
no radius-server命令用来管理或删除RADIUS服务器。
【命令】
radius-server name { server-ip secret [ port ] | group group-name }
no radius-server name [ group group-name ]
【缺省情况】
缺省情况下,没有配置RADIUS服务器。
【视图】
用视图
【参数】
name:RADIUS服务器名字,为1~256个字符的字符串。
server-ip:服务器IP地址。
secret:服务器密码,为1~256个字符的字符串。
port:服务器的端口号,范围是1~65535,缺省是1812。
group:将服务器加入或删除RADIUS服务器组中。
group-name:服务器组名称,为1~256个字符的字符串。
【举例】
# 创建RADIUS服务器server1,IP地址1.1.1.1,密码123456。
host# system-view
host(config)# radius-server server1 1.1.1.1 123456
【相关命令】
· display radius-server
server-group命令用来创建服务器组。
no server-group命令用来删除服务器组。
【命令】
server-group name { radius | ldap } firewall
no server-group name
【缺省情况】
缺省情况下,没有配置服务组。
【视图】
系统视图
【参数】
name:服务器组名,为1~256个字符的字符串。
radius:服务器组为RADIUS服务器组。
ldap:服务器组为LDAP服务器组。
【举例】
# 创建名字为group2的LDAP服务器组。
host# system-view
host(config)# server-group group2 ldap firewall
【相关命令】
· radius-server
· ldap
user-portal-server命令用来配置Portal认证的服务器IP地址和端口。
no user-portal-server命令用来管理或删除Portal认证的服务器IP地址。
【命令】
user-portal-server {server server-ip | radius server-name | timeout time-value | portal-url URL | server port port-value }
no user-portal-server {server server-ip | radius server-name | timeout time-value| portal-url URL }
【缺省情况】
缺省情况下,没有配置Portal服务器。
【视图】
用户视图
【参数】
server-ip:Portal服务器IP地址。
server-name:RADIUS服务器的名称。
time-out:Portal认证用户的超时时间,范围是1到144000,单位是分钟,缺省是15分钟。
Portal-url:格式如
http://serverip/portal?userip=<USERIP>&usermac=<USERMAC>&origurl=<ORIGURL>&nasip=nasip。
port-value:Portal认证的端口,范围是1到65535,缺省是50100。
【举例】
# 配置Portal服务器的IP地址是192.168.10.1,radius服务器的名称是rad-server。
host# system-view
host(config)# user-portal-server server 192.168.10.1
host(config)# user-portal-server radius rad-server
host(config)# user-portal-server server port 50100
user-radius-ap-mac 命令用于启用AP-Mac学习功能。
【命令】
user-radius-ap-mac {enable | disable}
【视图】
系统视图
【参数】
enable:启用AP-Mac学习功能
disable:关闭AP-Mac学习功能
【缺省情况】
缺省情况下,此功能关闭。
【使用指导】
可通过识别AP的mac地址来确认场所。
【举例】
#开启AP-Mac学习
HOST# system-view
HOST(config)# user-radius-ap-mac enable
【相关命令】
display user-radius-ap-mac
db-server 命令用于配置数据库服务器名称。
no db-server命令用来删除数据库服务器。
【命令】
db-server NAME
no db-server name
【视图】
系统视图
【参数】
NAME:数据库服务器名称,为1~63个字符的字符串。
【缺省情况】
缺省情况下,无数据库服务器。
【使用指导】
创建数据库服务器后,会进入数据库服务器配置视图。
【举例】
#创建数据库服务器dbtest
HOST# system-view
HOST(config)# db-server dbtest
HOST(db-server-config)#
【相关命令】
display running-config db-server
type 命令用于配置数据库服务器类型。
【命令】
type postgresql
【视图】
系统视图
【参数】
postgresql:PostgreSQL数据库
【缺省情况】
缺省情况下,为PostgreSQL,目前只支持PostgreSQL数据库服务器。
【使用指导】
可支持与PostgreSQL数据库交互。
【举例】
#创建数据库服务器dbtest,type配置为postgresql
HOST# system-view
HOST(config)# db-server dbtest
HOST(db-server-config)# type postgresql
【相关命令】
display running-config db-server
server-ip命令用于配置数据库服务器IP和端口。
【命令】
server-ip A.B.C.D port <1-65535>
【视图】
系统视图
【参数】
A.B.C.D:数据库服务器IP地址
<1-65535>:数据库服务器端口,范围为1-65535
【缺省情况】
缺省情况下,无IP和port配置。
【使用指导】
Postgresql服务器端口一般默认为5432,与数据库服务器安装时配置的端口保持一致即可。
【举例】
#创建数据库服务器dbtest,配置ip和端口
HOST# system-view
HOST(config)# db-server dbtest
HOST(db-server-config)# server-ip 192.168.2.50 port 5432
【相关命令】
display running-config db-server
character命令用于配置数据库编码。
【命令】
character { utf-8 | big5 | gbk }
【视图】
系统视图
【参数】
utf-8:数据库编码为utf-8
big5:数据库编码为big5
gbk:数据库编码为gbk
【缺省情况】
缺省情况下,为utf-8编码。
【使用指导】
Postgresql数据库编码需要选择utf-8编码,该类型数据库默认使用utf-8,如果人为修改和使用其他编码会存在兼容性问题,需要经过繁琐的设置和操作才能对接成功。
【举例】
#创建数据库服务器dbtest,配置编码类型为UTF-8
HOST# system-view
HOST(config)# db-server dbtest
HOST(db-server-config)# character utf8
【相关命令】
display running-config db-server
user命令用于配置数据库服务器的登录用户名和密码。
【命令】
user USERNAME password PASSWORD
【视图】
系统视图
【参数】
USERNAME:数据库服务器登录用户名,为1~127个字符的字符串。
PASSWORD:数据库服务器登录密码,为1~127个字符的字符串。
【缺省情况】
缺省情况下,无用户名密码配置。
【使用指导】
与数据库服务器设置的用户名密码保持一致,否则对接时无法通过验证。
【举例】
#创建数据库服务器dbtest,配置数据库服务器登录的用户名密码
HOST# system-view
HOST(config)# db-server dbtest
HOST(db-server-config)# user postgres password 123456
【相关命令】
display running-config db-server
database命令用于配置数据库服务器的名称。
【命令】
database NAME
【视图】
系统视图
【参数】
NAME:数据库服务器的数据库名,支持1~63个字符的字符串。
【缺省情况】
缺省情况下,无数据库名称配置。
【使用指导】
数据库名称需要真实存在与服务器中的保持一致。
【举例】
#创建数据库服务器dbtest,配置数据库名称postgres
HOST# system-view
HOST(config)# db-server dbtest
HOST(db-server-config)# database postgres
【相关命令】
display running-config db-server
timeout命令用于配置数据库服务器的超时时间。
【命令】
timeout <5-300>
【视图】
系统视图
【参数】
<5-300>:超时时间范围5-300s
【缺省情况】
缺省情况下,超时时间为30s。
【使用指导】
当与数据库对接发起连接请求时等待超过timeout的时间会认为连接超时,自动断开本次连接。
【举例】
#创建数据库服务器dbtest,配置超时时间为60s
HOST# system-view
HOST(config)# db-server dbtest
HOST(db-server-config)# timeout 60
【相关命令】
display running-config db-server
display running-config db-server命令用来显示系统中配置的所有数据库服务器。
【命令】
display running-config db-server
【视图】
用户视图
【参数】
无。
【举例】
host# display running-config db-server
# 显示系统内所有的数据库服务器配置信息。
db-server test1
type postgresql
server-ip 10.1.200.2 port 5432
character utf8
user postgres secret OSS4E1ouB0s+dZbvVERi9ioYu/EFDtPtH8SFOe0s9+8rev+RQhGEnSzDPHRkqh+
database postgres
db-server test2
type postgresql
server-ip 10.1.163.62 port 5432
character utf8
user postgres secret OSS4E1ouB0s+dZbvVERi9ioYu/EFDtPtH8SFOe0s9+8rev+RQhGEnSzDPHRkqh+
database dbname
cas NAME 命令用来配置CAS服务器名称。
【命令】
cas NAME
【视图】
系统视图
【参数】
NAME:CAS服务器名称。
【使用指导】
配置CAS服务器名称。
【举例】
配置CAS服务器名称
HOST# system-view
HOST(config)# cas test_cas
HOST(config-cas-server)#
【相关命令】
无
description DESCRIPTION 命令用来配置CAS服务器名称。
【命令】
description DESCRIPTION
【视图】
cas-server配置视图
【参数】
DESCRIPTION:CAS服务器描述信息。
【使用指导】
配置CAS服务器描述信息。
【举例】
配置CAS服务器描述信息
HOST# system-view
HOST(config)# cas test_cas
HOST(config-cas-server)# description testdes
HOST(config-cas-server)#
【相关命令】
cas NAME
key-word KEYWORD 命令用来配置CAS服务器关键字信息。
【命令】
key-word KEYWORD
【视图】
cas-server配置视图
【参数】
KEYWORD CAS服务器关键字。
【使用指导】
配置CAS服务器关键字。
【举例】
配置CAS服务器关键字
HOST# system-view
HOST(config)# cas test_cas
HOST(config-cas-server)# key-word cas:serviceResponse>cas:authenticationSuccess>cas:user
HOST(config-cas-server)#
【相关命令】
cas NAME
version命令用来配置CAS服务器校验版本。
【命令】
version { 2.0 | 3.0 }
【视图】
cas-server配置视图
【参数】
2.0:校验版本为2.0。
3.0:校验版本为3.0。
【使用指导】
配置CAS服务器校验版本。
【举例】
配置CAS服务器校验版本
HOST# system-view
HOST(config)# cas test_cas
HOST(config-cas-server)# version 2.0
HOST(config-cas-server)#
【相关命令】
cas NAME
login-url命令用来配置CAS服务器URL。
【命令】
login-url URL
【视图】
cas-server配置视图
【参数】
URL:CAS服务器URL。
【使用指导】
配置CAS服务器URL。
【举例】
配置CAS服务器名称
HOST# system-view
HOST(config)# cas test_cas
HOST(config-cas-server)# login-url https://www.example.com/cas/login
HOST(config-cas-server)#
【相关命令】
cas NAME
display running-config aaa 命令用来查看CAS服务器配置。
【命令】
display running-config aaa
【视图】
用户视图
【参数】
无
【使用指导】
查看CAS服务器配置。
【举例】
查看CAS服务器配置
HOST# display running-config aaa
!
cas test_cas
description testdes
login-url https://www.example.com/cas/login
key-word cas:serviceResponse>cas:authenticationSuccess>cas:user
version 2.0
【相关命令】
无
oauth NAME 命令用来配置OAUTH服务器名称。
【命令】
oauth NAME
【视图】
系统视图
【参数】
NAME:OAUTH服务器名称。
【使用指导】
配置OAUTH服务器名称。
【举例】
#配置OAUTH服务器名称
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)#
【相关命令】
无
description DESCRIPTION 命令用来配置OAUTH服务器描述信息。
【命令】
description DESCRIPTION
【视图】
oauth-server配置视图
【参数】
DESCRIPTION:OAUTH服务器描述信息。
【使用指导】
配置OAUTH服务器描述信息。
【举例】
配置OAUTH服务器描述信息
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)# description testdes
HOST(config-oauth-server)#
【相关命令】
oauth NAME
callback-url STRING命令用来配置OAUTH服务器回调地址。
【命令】
callback-url STRING
【视图】
oauth-server配置视图
【参数】
STRING:OAUTH服务器回调地址。
【使用指导】
配置OAUTH服务器回调地址。配置为设备的管理IP地址加指定端口,例如:http://192.168.1.1:8000/
【举例】
配置OAUTH服务器回调地址
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)# callback-url 192.168.1.1:8000
HOST(config-oauth-server)#
【相关命令】
oauth NAME
appid STRING命令用来配置OAUTH服务器appID。
【命令】
appid STRING
【视图】
oauth-server配置视图
【参数】
STRING OAUTH服务器appID
【使用指导】
配置OAUTH服务器appID。
【举例】
配置OAUTH服务器appID
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)# appid oauth_http
HOST(config-oauth-server)#
【相关命令】
oauth NAME
appsecret STRING 命令用来配置OAUTH服务器appsecret。
【命令】
appsecret STRING
【视图】
oauth-server配置视图
【参数】
STRING OAUTH服务器appsecret。
【使用指导】
配置OAUTH服务器appsecret。
【举例】
配置OAUTH服务器appsecret
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)# appsecret g7dJMx9MBuRZJcP2YPVNm8RpnkmTqF2b
HOST(config-oauth-server)#
【相关命令】
oauth NAME
redirect-url STRING命令用来配置OAUTH服务器重定向URL。
【命令】
redirect-url STRING
【视图】
oauth-server配置视图
【参数】
STRING:OAUTH服务器重定向URL。
【使用指导】
配置OAUTH服务器重定向URL。
【举例】
#配置OAUTH服务器重定向URL
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)# redirect-url http://A.B.C.D:8080/realms/master/protocol/openid-connect/auth
HOST(config-oauth-server)#
【相关命令】
oauth NAME
access-token-url STRING命令用来配置OAUTH服务器accessToken获取地址。
【命令】
access-token-url STRING
【视图】
oauth-server配置视图
【参数】
STRING:OAUTH服务器accessToken获取地址。
【使用指导】
配置OAUTH服务器accessToken获取地址。
【举例】
#配置OAUTH服务器accessToken获取地址
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)# access-token-url http://A.B.C.D:8080/realms/master/protocol/openid-connect/token
HOST(config-oauth-server)#
【相关命令】
oauth NAME
at-request-method { get | post } 命令用来配置OAUTH服务器accessToken请求类型。
【命令】
at-request-method { get | post }
【视图】
oauth-server配置视图
【参数】
get:请求类型为GET。
post:请求类型为POST。
【使用指导】
配置OAUTH服务器accessToken请求类型。
【举例】
#配置OAUTH服务器accessToken请求类型
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)# at-request-method post
HOST(config-oauth-server)#
【相关命令】
oauth NAME
user-info-url STRING命令用来配置OAUTH服务器获取用户信息请求地址。
【命令】
user-info-url STRING
【视图】
oauth-server配置视图
【参数】
STRING:OAUTH服务器获取用户信息请求地址。
【使用指导】
配置OAUTH服务器获取用户信息请求地址。
【举例】
#配置OAUTH服务器获取用户信息请求地址
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)# user-info-url http://A.B.C.D:8080/realms/master/protocol/openid-connect/userinfo
HOST(config-oauth-server)#
【相关命令】
oauth NAME
user-request-method { get | post } 命令用来配置OAUTH服务器获取用户信息请求类型。
【命令】
user-request-method { get | post }
【视图】
oauth-server配置视图
【参数】
get:请求类型为GET。
post:请求类型为POST。
【使用指导】
配置OAUTH服务器获取用户信息请求类型。
【举例】
#配置OAUTH服务器获取用户信息请求类型
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)# user-request-method post
HOST(config-oauth-server)#
【相关命令】
oauth NAME
ext-params STRING命令用来配置OAUTH服务器获取用户信息所需参数。
【命令】
ext-params STRING
【视图】
oauth-server配置视图
【参数】
STRING:OAUTH服务器获取用户信息所需参数。
【使用指导】
配置OAUTH服务器获取用户信息所需参数。
【举例】
#配置OAUTH服务器获取用户信息所需参数
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)# ext-params client_id=iouiuhjdfsfsdfsfw
HOST(config-oauth-server)#
【相关命令】
oauth NAME
scope STRING命令用来配置OAUTH服务器授权范围。
【命令】
scope STRING
【视图】
oauth-server配置视图
【参数】
STRING:OAUTH服务器授权范围。
【使用指导】
配置OAUTH服务器授权范围。
【举例】
#配置OAUTH服务器授权范围
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)# scope email profile
HOST(config-oauth-server)#
【相关命令】
oauth NAME
gain-method { http-url | http-head }命令用来配置OAUTH服务器获取方式。
【命令】
gain-method { http-url | http-head }
【视图】
oauth-server配置视图
【参数】
http-url:获取方式是URL参数。
http-head:获取方式是HTTP头部参数。
【使用指导】
配置OAUTH服务器获取方式。
【举例】
#配置OAUTH服务器获取方式
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)# gain-method http-url
HOST(config-oauth-server)#
【相关命令】
oauth NAME
key-word STRING命令用来配置OAUTH服务器获取用户关键字。
【命令】
key-word STRING
【视图】
oauth-server配置视图
【参数】
STRING:OAUTH服务器获取用户关键字。
【使用指导】
配置OAUTH服务器获取用户关键字。
【举例】
#配置OAUTH服务器获取用户关键字
HOST# system-view
HOST(config)# oauth test_oauth
HOST(config-oauth-server)# key-word username
HOST(config-oauth-server)#
【相关命令】
oauth NAME
display running-config aaa 命令用来查看OAUTH服务器配置。
【命令】
display running-config aaa
【视图】
用户视图
【参数】
无
【使用指导】
查看OAUTH服务器配置。
【举例】
查看OAUTH服务器配置
HOST# display running-config aaa
!
oauth test_oauth
description testdes
callback-url http://A.B.C.D:8000
redirect-url http://A.B.C.D:8080/realms/master/protocol/openid-connect/auth
access-token-url http://A.B.C.D:8080/realms/master/protocol/openid-connect/token
user-info-url http://A.B.C.D:8080/realms/master/protocol/openid-connect/userinfo
at-request-method post
user-request-method post
gain-method http-url
appid oauth_http
appsecret g7dJMx9MBuRZJcP2YPVNm8RpnkmTqF2b
scope email profile
key-word username
ext-params client_id=iouiuhjdfsfsdfsfw
【相关命令】
无
sso-match-other命令用来配置继续匹配后续策略。
【命令】
user-policy {IF_IN | any} {IF_OUT | any} {SIP |any} {DIP | any} {SCHEDULE | always} sso-match-other { enable | disable } name {group | no-record} { PERIOD | forever | once }
【缺省情况】
缺省情况下,未开启单点登录。
【视图】
Config视图
【参数】
if_in:流量入接口。
any:任何接口。
if_out:流量出接口。
any:任何接口:
sip:源地址匹配的地址对象或对象组。
any:任何源地址。
dip :目的地址匹配的地址对象或对象组。
any:任何目的地址。
schedule :配的时间对象。
always:任何时间。
sso-match-other:用户必须通过单点登录认证后,流量才可以放通,若认证失败继续匹配策略。
enable:启用该策略。
disable:不启用该策略。
name:配置策略名称。
group:选择用户录入组,格式:group1/group2/。
PERIOD:用户录入有效时间节点,格式:YYYY-MM-DD。
forever:用户录入永久有效。
once:用户临时录入。
no-record:不录入用户。
【举例】
# 开启单点登录,源目ip默认、引用时间默认,配置单点登录认证失败后继续匹配后续策略。
host# system-view
host(config)# user-policy any any any any always sso-match-other enable test-sso1 no-record forever
sso-no-authen-ip命令用来配置认证失败后以地址作为用户名。
【命令】
user-policy {IF_IN | any} {IF_OUT | any} {SIP |any}{DIP | any} {SCHEDULE | always} sso-no-authen-ip { enable | disable } name {group | no-record} { PERIOD | forever | once }
【缺省情况】
缺省情况下,默认是认证失败后以ip地址作为用户名
【视图】
Config视图
【参数】
if_in:流量入接口。
any:任何接口。
if_out:流量出接口。
any:任何接口:
sip:源地址匹配的地址对象或对象组。
any:任何源地址。
dip :目的地址匹配的地址对象或对象组。
any:任何目的地址。
schedule :配的时间对象。
always:任何时间。
sso-no-authen-ip:用户必须通过单点登录认证后,流量才可以放通,若认证失败直接以IP上线。
enable:启用该策略。
disable:不启用该策略。
name:配置策略名称。
group:选择用户录入组,格式:group1/group2/。
PERIOD:用户录入有效时间节点,格式:YYYY-MM-DD。
forever:用户录入永久有效。
once:用户临时录入。
no-record:不录入用户。
【使用指导】
配置认证失败后,允许以ip地址作为用户名
【举例】
# 开启单点登录,源目ip默认、引用时间默认,配置单点登录认证失败后以ip地址作为用户名。
host# system-view
host(config)#user-policy any any any any always sso-no-authen-ip enable test-sso2 no-record forever
【相关命令】
· display running-config user-sso
user-adsso key命令用来配置单点登录密码。
【命令】
User-adsso key password
【缺省情况】
缺省情况下,未开启单点登录。
【视图】
Config视图
【使用指导】
配置单点登录使用的密码
【举例】
# 配置单点登录密码为123456。
host# system-view
host(config)# user-adsso key 123456
【相关命令】
· display running-config user-sso
· no user-adsso key
user-sso timeouts enable命令用于配置单点登录超时时间
【命令】
user-sso timeouts enable<1-144000>
【视图】
配置视图
【参数】
<1-144000>:超时时间;不配置时,超时时间默认为15分钟。
【缺省情况】
【使用指导】
命令用于配置单点登录超时时间,如果没有流量经过,超过该时间后,单点登录用户会下线。
【举例】
#配置单点登录的超时时间为60分钟
HOST(config)# user-sso timeouts enable 60
【相关命令】
display running-config user-sso
no user-sso timeout
user-adsso force-logout enable命令用来配置单点登录强制登出时间。
【命令】
user-sso force-logout enable <1-144000>
【缺省情况】
缺省情况下,未开启单点登录强制登出时间。
【视图】
系统视图
【使用指导】
配置单点登录强制登出时间,超过时间后,用户自动下线。
【举例】
# 配置单点登录强制登出时间为15分钟。
host# system-view
host(config)# user-sso force-logout enable 15
【相关命令】
· display running-config user-sso
· no user-sso force-logout
bindtype ldap服务器的认证方式。
【命令】
bindtype simple user name passwd PASSWORD
【视图】
ldap配置视图
【使用指导】
Ldap服务器的认证方式,当域服务器需要认证才能同步用户时必须使用simple认证方式。
【举例】
# 配置ldap服务器拥有管理权限的域服务器管理员。
host# system-view
host(config)# ldap ad-ldap
host(config-ldap)#bindtype simple user cn=Manager,dc=sa,dc=com passwd 123456
【相关命令】
· display ldapserver
cnid 通用名标示。通常情况下有两种类型一种cn,一种upn
1、cn 全称 common name :每个用户节点的识别属性标识
2、upn 用于用户登录名进行web认证时使用的标识
【命令】
cnid
【缺省情况】
缺省情况下,cnid为空
【视图】
ldap配置视图
【使用指导】
1、cn 全称 common name :每个用户节点的识别属性标识,当使用标示名时使用cn。
2、upn 用于用户登录名进行web认证时使用的标识。
【举例】
# 启用负载均衡组。
host# system-view
host(config)# ldap ad-ldap
host(config)#cnid cn
【相关命令】
· display ldapserver
dn也叫Base dn用于获取同步信息的服务器域名路径
【命令】
Dn distinguish name
【缺省情况】
缺省情况下,DN为空
【视图】
ldap配置视图
【使用指导】
当配置dn时需保证dn路径正常,否则ldap服务器无法同步和认证
【举例】
# 配置dn路径。
host# system-view
host(config)# ldap ad-ldap
host(config)#dn ou=spl,ou=abt,dc=sa,dc=com
【相关命令】
· display ldap
display sync-task 命令用来查看LDAP用户同步情况。
【命令】
display sync-task
【视图】
全局视图
【使用指导】
该命令用于查看LDAP用户同步。
【举例】
# 配置ldap服务器自动同步,并设置同步时间为0点
HOST# display sync-task
--------------------------------------------------------------------------------------
name DESC STATUS SYNC_TYPE SYNC_TIME RECORD_LOCAL LATEST_SYNC_STATUS
---------------------------------------------------------------------------------------
123 enable LDAP同步 0 enable
同步成功
【相关命令】
· display ldap
ldap auto-syn命令用来配置ldap服务器
【命令】
ldap auto-syn {enable | disable| <0-23>}
【视图】
ldap配置视图
【使用指导】
只有开启自动同步后才可以配置同步时间,默认23点同步。
【举例】
# 配置ldap服务器自动同步,并设置同步时间为0点
host# system-view
host(config)# ldap ad-ldap
host(config-ldap)# ldap auto-syn enable
host(config-ldap)# ldap auto-syn 0
【相关命令】
· display ldapserver
ldap A.B.C.D 命令用来配置ldap服务器地址
【命令】
ldap A.B.C.D
【缺省情况】
缺省情况下,没有ldap服务器地址,默认端口389
【视图】
LDAP配置视图
【参数】
server-ip:LDAP服务器地址。
port:LDAP服务器端口,范围是1~65535,缺省389。
【举例】
# 配置LDAP服务器server2的地址为A.B.C.D。
host# system-view
host(config)# ldap server2
host(config-ldap)# ldap A.B.C.D 389
【相关命令】
· display ldap
ldap name命令用来ldap配置试图。
No ldap name命令删除ldap服务器。
【命令】
Ldap name
No ldap name
【缺省情况】
缺省情况下,未配置ldap服务器
【视图】
系统视图
【使用指导】
当需要使用ldap认证或者同步时需要配置ldap服务器
【举例】
# 创建ldap服务器名称。
host# system-view
host(config)# ldap ad-ldap
host(config-ldap)#
表1-14 LDAP服务器页面的详细说明
|
字段 |
说明 |
|
Ldap name名称 |
LDAP服务器名称 |
|
addr服务器IP |
LDAP服务器地址 |
|
port端口 |
LDAP服务器端口,默认389明文,暂不支持636加密同步 |
|
cnid通用名标示 |
1、cn 全称 common name :每个用户节点的识别属性标识 2、upn 用于用户登录名进行web认证时使用的标识 |
|
dn |
用于获取同步信息的服务器域名路径 |
|
bindtype绑定方式 |
1.匿名 2.简单 |
|
管理员 |
拥有管理权限的域服务器管理员 |
|
管理员密码 |
管理员对应密码 |
|
自动同步 |
开启关闭自动同步 |
|
时间 |
勾选自动同步后配置自动同步时间向AD服务器发送同步请求 |
|
开启加密 |
LDAP开启TLS加密不支持LDAP认证,只支持LDAP同步 |
ldap-auth easy-name-match命令用来配置ldap认证用户名称是否区分大小写。
【命令】
ldap-auth easy-name-match{enable|disable}
【视图】
(config)#视图
【使用指导】
默认情况下设备认证过程中用户名称区分大小写,而LDAP服务器在检验用户名时不区分大小写,如在LDAP服务器上配置用户名为aaa,用户在认证时输入AAA,也可以认证通过,但在设备侧上线时记录的用户名是AAA,由于设备从LDAP服务器同步下来的用户名是aaa,其它策略在调用aaa做控制后,由于上线时的用户为AAA,导致策略无法匹配上,为了解决这一问题,设备侧开启认证用户名称不区分大小写,即使用户输入了AAA,上线时也会显示为aaa,与本地存的用户名一模一样,保证了后续用户对象正常匹配。
【举例】
# 配置ldap认证用户名称大小写匹配
(config)# ldap-auth easy-name-match enable 开启后认证时对用户名不区分大小写匹配
(config)# ldap-auth easy-name-match disable 默认区分认证时对用户名区分大小写匹配
【相关命令】
· display ldap-auth easy-name-match switch
imc-server1(imc-server2)命令用来配置第三方用户同步接口服务器1(服务器2)。
no imc-server1(imc-server2)命令用来删除第三方服务器1(服务器2)。
user-imc timeout { disable | enable } <1-144000> 命令用来配置通过同步上线的iMC用户超时时间。
user-imc force-logout { disable | enable } <1-144000> 命令用来配置通过同步上线的iMC用户强制退出时间。
user-imc name-type { login-name | real-name } 命令用来配置第三方用户同步接口用户名类型。
user-imc group-path GROUP 命令用来配置第三方用户同步接口录入组。
【命令】
imc-server1(imc-server2) name A.B.C.D PASSWD
no imc-server1(imc-server2)
user-imc timeout { disable|enable } <1-144000>
user-imc force-logout { disable|enable } <1-144000>
user-imc name-type { login-name | real-name }user-imc group-path GROUP
【视图】
系统视图
【参数】
name:第三方服务器名称。
A.B.C.D:第三方服务器地址。
PASSWD:与第三方服务器之间对接的密钥,需要与服务器保持一致。
<1-144000>:配置通过iMC同步上线的用户超时时间或者强制退出时间,用户超时时间默认15分钟,强制退出时间默认关闭。
login-name: 登录名,第三方服务器的用户同步到设备本地后,用户名显示为第三方认证服务器同步的登录名。
real-name:真实名字,第三方服务器的用户同步到设备本地后,用户名显示为第三方认证服务器同步的真实姓名。
GROUP:录入组的路径,必须为本地用户结构及其子组。第三方用户同步成功后,设备会将上线成功的用户录入到所配置的本地用户组中。
【使用指导】
开启第三方用户同步接口功能后,第三方认证服务器将用户上线下报文发送到设备的UDP9999端口,设备通过上下线报文来识别用户。支持同时配置两个对接服务器。
【举例】
#配置第三方用户同步接口名称为imc1,服务器地址为10.0.50.210,密钥为123456,录入的用户组路径为:/本地结构组
HOST# system-view
HOST(config)# imc-server1 imc1 10.0.50.210 123456
HOST(config)# user-imc group-path /organization
【相关命令】
· display imc-server
user-radius-listen accounting port <1-65535>命令用来配置Radius服务器上计费报文的接收端口。
user-radius-listen authentication port <1-65535>命令用来配置Radius服务器上认证报文的接收端口。
user-radius-listen { disable|enable [name]}命令用来禁用/开启radius用户同步功能,并设置将同步成功的radius账号加入本地已创建的用户组
user-radius-listen timeout { disable | enable } <1-144000> 命令用来配置通过同步上线的radius用户超时时间。
user-radius-listen force-logout { disable | enable } <1-144000> 命令用来配置通过同步上线的radius用户强制退出时间。
【命令】
user-radius-listen accounting port <1-65535>
user-radius-listen authentication port <1-65535>
user-radius-listen { disable|enable [name]}
user-radius-listen timeout { disable|enable } <1-144000>
user-radius-listen force-logout { disable|enable } <1-144000>
【视图】
系统配置视图
【参数】
<1-65535>:Radius服务器上计费报文的接收端口,默认为1812。
<1-65535>:Radius服务器上认证报文的接收端口,默认 1813。
disable:禁用radius用户同步功能,默认为禁用状态。
enable:启用radius用户同步功能,同步成功的用户默认加入Radius用户组。
name:将Radius同步成功的用户加入本地创建的指定用户组中。
<1-144000>:配置通过Radius同步上线的用户超时时间或者强制退出时间,用户超时时间默认15分钟,强制退出时间默认关闭。
【使用指导】
Radius报文直接过设备或通过旁路方式镜像到设备的场景均支持。
【举例】
#配置Radius用户同步
HOST# system-view
HOST(config)# user-radius-listen enable 开启Radius用户同步
HOST(config)# user-radius-listen authentication port 1812 配置radius认证端口为1812
HOST(config)# user-radius-listen accounting port 1813 配置Radius计费端口为1813
HOST(config)#user-radius-listen timeout enable 144000 配置超时时间为144000分钟
HOST(config)#user-radius-listen force-logout enable 144000 配置强制退出时间为144000分钟
【相关命令】
· display user-radius-listen
user-srun switch 命令用来配置与第三方深澜认证服务器对接。
user-srun timeout { disable|enable } <1-144000> 命令用来配置通过同步上线的srun用户超时时间。
user-srun force-logout { disable|enable } <1-144000> 命令用来配置通过同步上线的srun用户强制退出时间。
【命令】
user-srun switch {enable|disable}
user-srun timeout { disable|enable } <1-144000>
user-srun force-logout { disable|enable } <1-144000>
【视图】
系统配置视图
【参数】
enable:启用与第三方深澜认证服务器对接功能。
disable:禁用与第三方深澜认证服务器对接功能。
<1-144000>:配置通过第三方深澜认证服务器对接同步上线的用户超时时间或者强制退出时间,用户超时时间默认15分钟,强制退出时间默认关闭。
【使用指导】
深澜认证服务器报文直接通过旁路方式镜像到设备即可。
【举例】
#配置与第三方深澜认证服务器对接
HOST# system-view
HOST(config)# user-srun switch enable 开启与第三方深澜认证服务器对接的用户同步
HOST(config)# user-srun timeout enable 144000 配置超时时间为144000分钟
HOST(config)# user-srun force-logout enable 144000 配置强制退出时间为144000分钟
HOST(config)#
【相关命令】
· display user-srun switch
user-sols switch 命令用来配置与第三方城市热点认证服务器对接。
user-sols timeout {disable|enable} <1-144000> 命令用来配置通过同步上线的sols用户超时时间。
user-sols force-logout {disable|enable} <1-144000> 命令用来配置通过同步上线的sols用户强制退出时间。
【命令】
user-sols switch {enable|disable}
user-sols timeout {disable|enable} <1-144000>
user-sols force-logout {disable|enable} <1-144000>
【视图】
系统配置视图
【参数】
enable:启用与第三方城市热点认证服务器对接功能。
disable:禁用与第三方城市热点认证服务器对接功能。
<1-144000>:配置通过第三方城市热点认证服务器对接同步上线的用户超时时间或者强制退出时间,用户超时时间默认15分钟,强制退出时间默认关闭。
【使用指导】
城市热点认证服务器报文直接通过旁路方式镜像到设备即可。
【举例】
#配置与第三方城市热点认证服务器对接
HOST# system-view
HOST(config)# user-sols switch enable 开启与第三方城市热点认证服务器对接的用户同步
HOST(config)# user-sols timeout 144000 配置超时时间为144000分钟
HOST(config)# user-sols force-logout 144000 配置强制退出时间为144000分钟
HOST(config)#
【相关命令】
· display user-sols switch
user-am switch 命令用来配置与第三方安美认证服务器对接。
user-telecom timeout {disable|enable} <1-144000>命令用来配置通过同步上线的telecom用户超时时间。
user-telecom force-logout {disable|enable} <1-144000>命令用来配置通过同步上线的telecom用户强制退出时间。
【命令】
user-am switch {enable|disable}
user-telecom timeout {disable|enable} <1-144000>
user-telecom force-logout {disable|enable} <1-144000>
【视图】
系统配置视图
【参数】
enable:启用与第三方安美认证服务器对接功能。
disable:禁用与第三方安美认证服务器对接功能。
<1-144000>:配置通过第三方安美认证服务器对接同步上线的用户超时时间或者强制退出时间,用户超时时间默认15分钟,强制退出时间默认关闭。
【使用指导】
安美认证服务器报文直接通过旁路方式镜像到设备即可。
【举例】
#配置与第三方安美认证服务器对接
HOST# system-view
HOST(config)# user-am switch enable 开启与第三方安美认证服务器对接的用户同步
HOST(config)# user-telecom timeout 144000 配置超时时间为144000分钟
HOST(config)# user-telecom force-logout 144000 配置强制退出时间为144000分钟
HOST(config)#
【相关命令】
· display user-am switch
pppoe user-snooper 命令用来配置与第三方pppoe认证服务器对接。
【命令】
pppoe user-snooper {enable|disable}
【视图】
系统配置视图
【参数】
enable:启用与第三方pppoe认证服务器对接功能。
disable:禁用与第三方pppoe认证服务器对接功能。
【使用指导】
pppoe认证报文直接过设备或通过旁路方式镜像到设备场景都支持。
【举例】
#配置与第三方pppoe认证服务器对接
HOST# system-view
HOST(config)# pppoe user-snooper enable 开启与第三方安美认证服务器对接的用户同步
HOST(config)#
user-web-listen命令用来配置web用户同步(http流量经过设备)。
user-web-listen server命令用来配置同步的web服务器。
user-web-listen mode命令用来配置同步的类型。
user-web-listen group命令用来配置同步用户录入的用户组。
user-web-listen check命令用来配置启用认证关键字。
user-web-listen timeout命令用来配置通过web用户同步(http流量经过设备)上线的用户超时时间。
user-web-listen force-logout命令用来配置通过web用户同步(http流量经过设备)上线的用户强制退出时间。
【命令】
user-web-listen { enable | disable }
user-web-listen server host
user-web-listen mode {url user-key name | cookie user-key name | post-form user-key name }
user-web-listen group groupname
user-web-listen check { enable | disable | fail string | success string }
user-web-listen timeout <1-144000>
user-web-listen force-logout <1-144000>
【视图】
系统配置视图
【参数】
enable:启用web用户同步(http流量经过设备)。
disable:禁用web用户同步(http流量经过设备)。
host:web服务器。
name:根据同步类型,设置的参数名。
groupname:web用户同步录入的用户组。
string:启用认证成功或者失败的关键字。
<1-144000>:配置通过web用户同步上线的用户超时时间或者强制退出时间,用户超时时间和强制退出时间默认关闭。
【使用指导】
用户在第三方认证服务器上做认证,认证报文经过设备,在设备上配置web用户同步(http流量经过设备),当用户在第三方认证服务器上认证成功之后,同时在设备上web监听上线。
【举例】
#配置web用户同步(http流量经过设备)
HOST# system-view
HOST(config)# user-web-listen enable 开启web用户同步(http流量经过设备)
HOST(config)# user-web-listen server news.baidu.com 配置web服务器是news.baidu.com
HOST(config)# user-web-listen mode url user-key username= 配置类型为URL请求参数且URL参数名是username=
HOST(config)# user-web-listen group abc 配置用户同步之后录入的用户组是abc
HOST(config)# user-web-listen check success keyword bbb 配置认证成功关键字是bbb
HOST(config)# user-web-listen timeout enable 144000 配置web用户同步上线的用户超时时间是144000
HOST(config)# user-web-listen force-logout enable 144000 配置web用户同步上线的用户强制退出时间是144000
【相关命令】
· display user-web-listen
user-syn-web-listen命令用来配置web用户同步(http流量到达设备)。
user-syn-web-listen url key 命令用来配置web用户同步的URL。
user-syn-web-listen port命令用来配置web用户同步(http流量到达设备)的服务器端口。
user-syn-web-listen group命令用来配置同步用户录入的用户组。
user-syn-web-listen online命令用来配置上线信息同步。
user-syn-web-listen offline命令用来配置下线信息同步。
user-syn-web-listen timeout命令用来配置通过web用户同步(http流量到达设备)上线的用户超时时间。
user-syn-web-listen force-logout命令用来配置通过web用户同步(http流量到达设备)上线的用户强制退出时间。
【命令】
user-syn-web-listen { enable | disable }
user-syn-web-listen url key key
user-syn-web-listen port portnumber
user-syn-web-listen group groupname
user-syn-web-listen online { enable | disable | mark keyword | user keyword | ip keyword | mac keyword }
user-syn-web-listen offline { enable | disable | mark keyword | user keyword | ip keyword | mac keyword }
user-syn-web-listen timeout <1-144000>
user-syn-web-listen force-logout <1-144000>
【视图】
系统配置视图
【参数】
enable:启用web用户同步(http流量到达设备)。
disable:禁用web用户同步(http流量到达设备)。
Key:URL参数。
portnumber:配置的服务器端口。
groupname:web用户同步录入的用户组。
keyword:起止符和终止符。
<1-144000>:配置通过web用户同步上线的用户超时时间或者强制退出时间,用户超时时间和强制退出时间默认关闭。
【使用指导】
用户在第三方认证服务器上做认证,认证报文会发送到设备上。在设备上配置web用户同步(http流量到达设备),当用户在第三方认证服务器上认证成功之后,同时在设备上web监听上线
【举例】
#配置web用户同步(http流量到达设备)
HOST# system-view
HOST(config)# user-syn-web-listen enable 开启web用户同步(http流量到达设备)
HOST(config)# user-syn-web-listen url key /test/logininfo.php 配置URL是/test/logininfo.php
HOST(config)# user-syn-web-listen port 5000 配置服务器端口是5000
HOST(config)# user-syn-web-listen group abc 配置用户同步之后录入的用户组是abc
HOST(config)# user-syn-web-listen online enable 开启上线信息同步的上线
HOST(config)# user-syn-web-listen online mark Login=1 配置上线标记是Login=1
HOST(config)# user-syn-web-listen online user account= & 配置上线用户名起始符account=终止符&
HOST(config)# user-syn-web-listen online ip ip= & 配置上线用户IP起始符ip=终止符&
HOST(config)# user-syn-web-listen online mac mac= & 配置上线用户MAC起始符mac=终止符&
HOST(config)# user-syn-web-listen offline enable 开启下线信息同步的下线
HOST(config)# user-syn-web-listen offline mark Logout=1 配置下线标记是Logout=1
HOST(config)# user-syn-web-listen offline user account= & 配置下线用户名起始符account=终止符&
HOST(config)# user-syn-web-listen offline ip ip= & 配置下线用户IP起始符ip=终止符&
HOST(config)# user-syn-web-listen offline mac mac= & 配置下线用户MAC起始符mac=终止符&
HOST(config)# user-web-listen timeout enable 144000 配置web用户同步上线的用户超时时间是144000
HOST(config)# user-web-listen force-logout enable 144000 配置web用户同步上线的用户强制退出时间是144000
【相关命令】
· display user-syn-web-listen
third-party-user-portal 命令进入未同步用户Portal推送配置模式。
【命令】
third-party-user-portal
【视图】
系统视图
【参数】
无
【使用指导】
无
【举例】
Host# configure terminal
Host(config)# third-party-user-portal
【相关命令】
无。
enable 命令用来启用未同步用户Portal推送功能。
disable 命令用来禁用未同步用户Portal推送功能。
【命令】
enable
disable
【视图】
config-third-party-user-portal视图
【参数】
无
【使用指导】
无
【举例】
#configure terminal
Host(config)# third-party-user-portal
Host(config-third-party-user-portal)# enable
【相关命令】
src-ip A.B.C.D 命令用来配置推送地址。
no src-ip A.B.C.D命令用来删除推送地址。
【命令】
src-ip A.B.C.D
no src-ip A.B.C.D
【视图】
config-third-party-user-portal视图
【参数】
A.B.C.D:推送地址(IPv4地址)。
【使用指导】
无
【举例】
HOST# system-view
HOST(config)# third-party-user-portal
HOST(config-third-party-user-portal)# src-ip 1.1.1.1
HOST(config-third-party-user-portal)#
【相关命令】
无
src-ip range A.B.C.D A.B.C.D命令用来配置推送IP地址范围。
no src-ip range A.B.C.D A.B.C.D命令用来删除推送IP地址范围。
【命令】
src-ip range A.B.C.D A.B.C.D
no src-ip range A.B.C.D A.B.C.D
【视图】
config-third-party-user-portal视图
【参数】
A.B.C.D:IPv4地址。
【使用指导】
无
【举例】
HOST# system-view
HOST(config)# third-party-user-portal
HOST(config-third-party-user-portal)# src-ip range 1.1.1.1 1.1.1.2
【相关命令】
无
src-ip subnet A.B.C.D/M 命令用来配置推送IP地址网段。
no src-ip subnet A.B.C.D/M 命令用来删除推送IP地址网段。
【命令】
src-ip subnet A.B.C.D/M
no src-ip subnet A.B.C.D/M
【视图】
config-third-party-user-portal视图
【参数】
A.B.C.D/M:IPv4子网。
【使用指导】
无
【举例】
HOST# system-view
HOST(config)# third-party-user-portal
HOST(config-third-party-user-portal)# src-ip subnet 1.1.1.1/24
【相关命令】
无
portal-url URL命令用来配置重定向Portal页面地址。
【命令】
portal-url URL
【视图】
config-third-party-user-portal视图
【参数】
URL:Portal地址。
【使用指导】
无
【举例】
HOST# system-view
HOST(config)# third-party-user-portal
HOST(config-third-party-user-portal)# portal-url http://www.example.com
【相关命令】
无
user mac-sensitive 命令用来配置用户识别是否对MAC变化保持敏感。
【命令】
user mac-sensitive{enable|disable}
【视图】
(config)#视图
【参数】
enable:开启用户MAC敏感,用户MAC发生变化后会被踢下线重新识别。
disable:关闭用户MAC敏感。
【使用指导】
用户MAC敏感命令是配合SNMP跨三层学习MAC功能一起使用的,默认情况下为disable状态,即用户MAC发生变化后用户不会被踢下线;在跨三层环境下由于通过SNMP获取到真实MAC后在线用户的MAC会发生变化,开启MAC敏感以将用户踢下线,重新进行识别,以便重新关联用户。
说明:跨三层环境下,用户上线时MAC识别为匿名用户,MAC 地址为下联三层设备的接口MAC1,用户静态绑定条目为(user2 MAC2),当开启跨三层学习后,正常获取到用户的真实MAC2,如果用户MAC敏感为关闭状态,用户不会重新识别会导致无法关联上静态绑定用户,在线用户仍然会显示匿名用户,就会导致所有引用了账号user2的策略均不生效。
【举例】
# 配置用户MAC敏感
(config)# user mac-sensitive enable 开启用户MAC敏感
(config)# user mac-sensitive disable 关闭用户MAC敏感
【相关命令】
无
旁路认证是指设备旁路部署,为用户提供安全认证服务,如本地web认证、portal认证,不改变客户原有网络架构。
deploy-mode listen enable命令用于接口启用旁路部署。
deploy-mode listen disable命令用于关闭接口旁路部署。
【命令】
deploy-mode listen {enable| disable}
【缺省情况】
缺省情况下, 旁路认证未开启。
【视图】
接口视图
【参数】
enable:开启旁路监听功能。
disable:关闭旁路监听功能。
【使用指导】
· 旁路模式并不替换用户的路由器,也不提供任何NAT,DHCP或者DNS服务。它通常 放在交换机旁边,通过镜像的方式,仅仅提供认证的功能。旁路模式不修改网络结构, 甚至不关心网络细节,关机也不掉线。
· 核心交换机将所有流量镜像给Device,Device需另外配置一个管理口与内网pc路由可达,开启旁路认证功能,配置认证策略进行认证。
【举例】
# 开启旁路认证功能,配置认证策略为本地web认证。
HOST# system-view
HOST(config)# interface ge8
HOST(config-ge8)# deploy-mode listen enable
HOST(config)# user-policy listen authentication enable
HOST(config)# user-policy ge8 ge8 any any always local-webauth enable test no-record forever
user-policy listen authentication 命令打开或关闭旁路认证。
【命令】
user-policy listen authentication {enable| disable}
【缺省情况】
缺省情况下, 旁路认证未开启。
【视图】
系统视图
【参数】
enable:开启旁路认证功能。
disable:关闭旁路认证功能。
【使用指导】
Ø 旁路模式并不替换用户的路由器,也不提供任何NAT,DHCP或者DNS服务。它通常 放在交换机旁边,通过镜像的方式,仅仅提供认证的功能。旁路模式不修改网络结构, 甚至不关心网络细节,关机也不掉线。
Ø 核心交换机将所有流量镜像给Device,Device需另外配置一个管理口与内网pc路由可达,开启旁路认证功能,配置认证策略进行认证。
Ø 旁路认证功能必须与用户策略配合使用才能生效,具体用户策略配置请参考用户认证章节。
【举例】
# 开启旁路认证功能,配置认证策略为本地web认证。
HOST# system-view
HOST(config)# int ge8
HOST(config-ge8)# deploy-mode listen enable
HOST(config)# user-policy listen authentication enable
HOST(config)# user-policy ge8 ge8 any any always local-webauth enable test no-record forever
policy listen block enable 命令用来开启旁路阻断功能。
policy listen block disable 命令用来关闭旁路阻断功能。
【命令】
policy listen block{enable | disable}
【缺省情况】
缺省情况下,旁路阻断功能是关闭。
【视图】
系统视图
【参数】
enable:开启旁路阻断功能。
disable:关闭旁路阻断功能。
【使用指导】
旁路阻断是针对用户发送TCP rst报文进行阻挡,通过匹配IPV4安全策略阻断相应的上网行为,旁路模式下不修改网络结构,不关心网络细节,甚至设备故障下线也不会影响用户上网。
【举例】
# 将设备开启旁路阻断功能。
HOST# system-view
HOST(config)# policy listen block enable
【相关命令】
· display running-config policy
arp-task命令用来创建arp同步任务。
【命令】
arp-task { enable | disable } namename A.B.C.D/M { <10-36000> | once } groupgroup [ description ]
【视图】
配置视图
【参数】
enable|disable:启用/禁用。
namename:ARP同步任务名称。
A.B.C.D/M:扫描网段。
<2-36000>|once:同步周期,once为单次同步。
groupgroup:用户加入组。
.description:描述信息。
【举例】
# 创建扫描网段为192.168.200.0/24的arp扫描任务,开启周期同步,同步周期为24小时,加入用户组abc。
Host# configure terminal
Host(config)# arp-task enable sss 192.168.200.0/24 1440 abc
snmp-task命令用来创建snmp同步任务。
【命令】
snmp-task { enable | disable } name A.B.C.D HH:HH:HH:HH:HH:HH community {v1 | v2 } (<2-36000> | once) group [description]
【视图】
配置视图
【参数】
name:SNMP同步任务名称。
A.B.C.D:SNMP服务器的IP地址。
HH:HH:HH:HH:HH:HH:SNMP服务器的MAC地址。
community:团体名。
v1 | v2:snmp版本号。
<2-36000>:同步周期,单位为秒。
once:单次同步。
group:用户加入组。
description:描述,支持0-127个字符。
【举例】
# 创建SNMP同步任务,开启周期同步,同步周期为24小时,加入用户组abc,SNMP服务器的IP地址为192.168.203.1,MAC地址为38:22:d6:30:38:7f,服务器支持版本v1。
Host# configure terminal
Host(config)# snmp-task enable snmp 192.168.203.1 38:22:d6:30:38:7f zzz v1 1440 abc
snmp-task record name { default | IP | MAC }命令用于设置snmp自动录入方式。
【命令】
snmp-task record name { default | IP | MAC }
【视图】
配置视图
【参数】
name:SNMP同步任务名称。
default:录入方式,以默认方式录入。
IP:录入方式,以IP方式。MAC:录入方式,以MAC方式录入。
【举例】
# 设置SNMP同步任务的录入方式
Host# configure terminal
Host(config)# snmp-task aaa record IP
snmp-task mac-learn aging-time 命令用于设置SNMP同步学习到的表项老化时间。
【命令】
snmp-task mac-learn aging-time <10-2880>
【缺省情况】
默认老化时间为30分钟。
【视图】
配置视图
【参数】
<10-2880>:老化时间,单位为:分钟。
【使用指导】
开启跨三层MAC学习功能,通过该命令可以设置学习到的MAC/IP表项的老化时间。
【举例】
# 设置SNMP同步学习到的表项老化时间为1天
Host# configure terminal
Host(config)# snmp-task mac-learn aging-time 1440
ldap-task 命令用于从ldap服务器同步用户到设备。
【命令】
ldap-task { enable | disable } NAEM LDAPSVERVER (ou | sg) enable <0-23> <30-86400> [ GROUP | no-record ] [.DESCRIPTION]
【视图】
config视图
【参数】
enable|disable:启用|禁用同步任务。
NAEM:同步任务名称。
LDAPSVERVER:LDAP服务器名称。
ou | sg:同步模式,可以选择 ou或 sg(安全组)。
<0-23>:同步时间0-23点。
<30-86400>:间隔多久同步一次,范围30-86400秒,默认为3600秒。
GROUP:用户组名称,将用户加入组。
no-record 不自动录入到本地。
DESCRIPTION:描述信息,非必填项。
【使用指导】
配置此命令前,需要先配置LDAP服务器。
【举例】
HOST(config)# ldap-task enable 123 ldap1 ou enable 0 86400
【相关命令】
display ldap-task
database-task命令用来创建数据库同步任务。
【命令】
database-task { enable | disable } NAME DATABASESERVER {<300-86400> | once } GROUP [DESCRIPTION]
database-sql NAME separator CHAR sql Line
【视图】
配置视图
【参数】
enable、disable:启用/禁用。
NAME:数据库同步任务名称。
DATABASESERVER:数据库服务器。
<300-86400>:同步周期,单位是秒。
once:单次同步。
GROUP:用户加入组,数据库同步的用户路径。
DESCRIPTION:描述信息。
CHAR:数据库查询结果分隔符。
.Line:数据库查询语句。
【使用指导】
配置此命令前,需要先配置数据库服务器。
【举例】
# 创建名称为aaa的数据库同步任务,描述信息是desc,开启周期同步,同步周期为1小时,数据库服务器是server1,SQL语句是sql select name,path from sync,分隔符是/,加入用户组abc。
Host# configure terminal
Host(config)# database-task enable aaa server1 3600 abc desc
Host(config)# database-sql aaa separator \ sql select name,path from sync
no sync-task命令用来删除同步任务。
【命令】
no sync-task name
【视图】
系统视图
【参数】
name:同步任务名称。
【举例】
# 删除ldapsyn同步任务。
Host# configure terminal
Host(config)# no sync-task ldapsyn
数据库用户同步是指设备与数据库服务器对接,获取数据库表中用户名和IP,当响应IP的用户产生流量过设备是,会自动加入在线用户,不需要再受其他认证策略限制。
user-db-recognition server命令用于选择配置的数据库服务器。
【命令】
user-db-recognition server NAME
【缺省情况】
缺省情况下, 无此配置。
【视图】
接口视图
【参数】
NAME:数据库服务器名称。
【使用指导】
· 当存在多个数据库服务器时,通过名称来区分,配置正确的数据库服务器名称即可。
【举例】
# 配置数据库用户同步对接的服务器为dbtest。
HOST# system-view
HOST(config-ge8)# user-db-recognition server dbtest
user-db-recognition enable命令用于启用数据库用户同步功能。
user-db-recognition disable命令用于禁用数据库用户同步功能。
【命令】
user-db-recognition {enable|disable}
【缺省情况】
缺省情况下, 为禁用状态。
【视图】
系统视图
【参数】
enable:启用。
disable:禁用。
【使用指导】
· 当启用数据库用户同步功能后会定期与数据服务器交互获取指定表中的IP和用户名信息。
【举例】
# 启用数据库用户同步功能。
HOST# system-view
HOST(config-ge8)# user-db-recognition enable
user-db-recognition address 命令用于配置用户同步IP地址范围。
【命令】
user-db-recognition address ADDRESS
【缺省情况】
缺省情况下, 无此配置。
【视图】
系统视图
【参数】
ADDRESS:IPv4地址范围,支持配置单个IP、IP范围、IP/MASK三种格式
【使用指导】
· 只支持IPV4地址范围的配置,最大支持16组IP配置。
· 只会从数据库服务器中同步满足IP地址范围的用户信息。
【举例】
# 启用数据库用户同步功能。
HOST# system-view
HOST(config-ge8)# user-db-recognition enable
user-db-recognition cmd 命令用于配置获取已认证用户列表的SQL语句。
【命令】
user-db-recognition cmd LINE
【缺省情况】
缺省情况下, 无此配置。
【视图】
系统视图
【参数】
LINE:合法的SQL语句。
【使用指导】
需要配置正确合法的SQL语句,从表中获取用户名和IP关键信息。
【举例】
# 配置获取数据库已认证用户的SQL语句。
HOST# system-view
HOST(config-ge8)# user-db-recognition cmd select username,ip from usertable;
user-db-recognition priority 命令用于配置用户同步功能和认证策略的匹配优先级。
【命令】
user-db-recognition priority { low | high}
【缺省情况】
缺省情况下,low。用户流量优先匹配认证策略,匹配不上认证策略的情况下再匹配数据库用户同步的信息
【视图】
系统视图
【参数】
low:优先匹配认证策略,匹配不上认证策略才会匹配数据库用户同步信息
high:优先匹配数据库用户同步信息,匹配不上数据库用户同步信息才会匹配认证策略
【使用指导】
· 此命令作用主要用于认证策略地址范围和数据库用户同步的地址范围存在重叠的情况来控制使用那种方式进行匹配处理。以满足不同的用户使用场景。
· 一般情况下认证策略地址对象和数据库用户同步IP范围不存在重叠,使用缺省配置即可。
【举例】
# 配置数据库用户同步优先级高。
HOST# system-view
HOST(config-ge8)# user-db-recognition priority high
user-db-recognition interval 命令用于配置用户同步间隔。
【命令】
user-db-recognition interval <10-3600>
【缺省情况】
缺省情况下, 为60s。
【视图】
系统视图
【参数】
<10-3600>:同步间隔为10-3600s,默认为60s
【使用指导】
· 设备会基于数据库用户同步间隔时间定期向数据库发起获取已认证用户的连接请求。当用户信息获取完成后等待下个同步间隔再次进行同步。
· 如果用户量大很大,建议时间间隔配置大一些,避免频繁进行用户同步。
【举例】
# 配置数据库用户同步间隔为600s。
HOST# system-view
HOST(config)# user-db-recognition interval 600
user-db-recognition timeout命令用于配置数据库同步上线的用户超时时间。
【命令】
user-db-recognition timeout { disable | enable } <1-144000>
【缺省情况】
缺省情况下,用户超时时间默认15分钟。
【视图】
系统视图
【参数】
<1-144000>:配置通过数据库用户同步上线的超时时间。
【举例】
# 配置数据库用户同步超时时间为144000分钟。
HOST# system-view
HOST(config)# user-db-recognition timeout enable 144000
user-db-recognition force-logout命令用于配置数据库同步上线的用户超时时间。
【命令】
user-db-recognition force-logout { disable | enable } <1-144000>
【缺省情况】
缺省情况下,用户强制退出时间默认关闭。
【视图】
系统视图
【参数】
<1-144000>:配置通过数据库用户同步上线的强制退出时间。
【举例】
# 配置数据库用户同步强制退出时间为144000分钟。
HOST# system-view
HOST(config)# user-db-recognition force-logout enable 144000
display running-config user-db-recognition命令用来显示系统中数据库用户同步配置。
【命令】
display running-config user-db-recognition
【视图】
用户视图
【参数】
无。
【举例】
host# display running-config user-db-recognition
# 显示系统内数据库用户同步配置信息。
user-db-recognition server dbtest
user-db-recognition cmd select username,ip from usertable;
user-db-recognition interval 600
user-db-recognition address 172.16.0.0/16
user-db-recognition enable
user-self-reg NAME type命令用来创建自注册对象,如果指定的自注册对象已经存在,则直接进入相应的自注册对象视图。
no user-self-reg { NAME }命令用来删除已创建的自注册对象。
【命令】
user-self-reg NAME type { account | terminal }
【视图】
用户配置视图
【参数】
NAME 对象名称
account:账号注册
terminal:终端注册
【使用指导】
创建新自注册对象,在认证策略中启用自注册时进行引用。根据选择的用户自注册对象,在用户认证页面给用户提供自注册账号的功能。
【举例】
# 创建新自注册对象或者进入自注册对象视图。
Host# system-view
Host(config)# user-self-reg 123 type account
Host(user-self-reg)# quit
Host(config)# user-self-reg 123 type account
Host(user-self-reg)#
【相关命令】
无
approval disable命令用来关闭审批。
approval enable 命令用来开启审批。
【命令】
approval {enable | disable}
【视图】
自注册对象视图
【参数】
disable:关闭命令功能
enable;开启命令功能
【使用指导】
命令行配置的自注册对象默认免审批,不开启审批。
在选择审批管理员之前需要先开启审批功能。
【举例】
将审批功能开启再关闭(默认关闭)
Host# system-view
Host(config)# user-self-reg zh type account
Host(user-self-reg)# approval enable
Host(user-self-reg)# approval disable
【相关命令】
auditor
【命令】
auditor [ NAME ]
【视图】
自注册对象视图
【参数】
NAME:选定用来审批注册信息的管理员ID。
【使用指导】
用来选择审批注册信息的管理员
【举例】
# 选择管理员
Host# system-view
Host(config)# user-self-reg zh type account
Host(user-self-reg)# auditor admin
【相关命令】
approval
【命令】
bind { ip | mac }
【视图】
自注册对象视图
【参数】
ip:绑定方式为绑定ip。
mac:绑定方式为绑定mac。
【使用指导】
只有终端注册有绑定方式的选项,通过绑定信息用来为终端进行注册。
【举例】
# 选择绑定方式为绑定mac
Host# system-view
Host(config)# user-self-reg zd type terminal
Host(user-self-reg)# bind ip
Host(user-self-reg)# bind mac
【相关命令】
user-self-reg zd type terminal
【命令】
expire-set { EXPIRE-DATE | never-expire }
【视图】
自注册对象视图
【参数】
EXPIRE-DATE:自定义账号失效时间。
never-expire:永久有效。
【使用指导】
命令用来设置账号有效期,设置时间应不早于设备系统当前时间,默认永久有效
【举例】
# 自定义账号失效时间
Host# system-view
Host(config)# user-self-reg zh type account
Host(user-self-reg)# expire-set 2021-12-25
group-record命令用来配置用户录入组的方式。
【命令】
group-record { optional | policy | specific }
【视图】
自注册对象视图
【参数】
record:用户录入组的方式,更改注册用户所属组。
specific:指定。
optional:自选。
policy:根据认证策略。
【举例】
#更改用户录入组的方式
Host# system-view
Host(config)# user-self-reg zh type account
Host(user-self-reg)# group-record specific
【相关命令】
group-path PATH
group-path命令用来指定用户组的路径。
no group-path 命令用来删除指定的用户组路径。
【命令】
group-path PATH
[no] group-path PATH
【视图】
自注册对象视图
【参数】
PATH:指定的用户组路径。
【举例】
# 更改用户录入组的路径为yonghuzu1
Host# system-view
Host(config)# user-self-reg zh type account
Host(user-self-reg)# group-path yonghuzu1
【相关命令】
group-record { optional | policy | specific }
item命令用来设置邮箱、手机是否为必填项。
【命令】
item { mail | phone } { enable | disable }
【视图】
自注册对象视图
【参数】
mail:邮件。
phone:手机。
enable:启用必填。
disable:非必填。
【举例】
#设置邮箱和手机为必填项
Host# system-view
Host(config)# user-self-reg zh type account
Host(user-self-reg)# item mail enable
Host(user-self-reg)# item phone enable
【相关命令】
user-notify mail
mail-limit DOMAIN
user-notify mail命令用来设置邮箱通知审批结果是否开启。
【命令】
user-notify mail { enable | disable }
【视图】
自注册对象视图
【参数】
enable:启用。
disable:禁用。
【举例】
#设置开启邮箱通知审批结果
Host# system-view
Host(config)# user-self-reg zh type account
Host(user-self-reg)# user-notify mail enable
【相关命令】
mail-limit DOMAIN
mail-limit命令用来设置邮箱填写项的域名限制。
no mail-limit命令用来删除邮箱填写项的域名限制。
【命令】
mail-limit DOMAIN
no mail-limit DOMAIN
【视图】
自注册对象视图
【参数】
DOMAIN:限制允许的域名
【使用指导】
设置邮箱填写项的域名限制后,认证注册时则只能填写指定域名的邮箱地址。
比如域名限制设置为qq.com ,则只能填写QQ邮箱地址。
【举例】
设置邮箱域名限制
Host# system-view
Host(config)# user-self-reg zh type account
Host(user-self-reg)# mail-limit 163.com
【相关命令】
item { mail | phone } { enable | disable }
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
