AAA配置采用本地方式进行认证和授权

 

1.配置流程

1.1配置本地服务器

• 配置本地用户：创建本地用户，设备根据创建的用户信息对本地用户进行认证。

• 配置授权规则：在设备上创建相应的授权规则，本地授权时可以根据创建的授权规则对用户授权。

1.2配置并应用AAA方案

• 配置AAA方案：业务方案中也可以配置用户的授权信息。

• 配置业务方案（可选）：业务方案中也可以配置用户的授权信息。

• 在域下应用AAA方案：创建好的AAA方案和业务方案需要绑定到用户所属域下才能生效。

1.3检查配置结果

检查并验证配置是否正确。

2.配置过程

2.1配置本地用户

1）执行命令aaa，进入AAA视图

2）创建本地用户

 

3）配置用户级别、所属用户组、接入时间段、闲置切断功能及可建立的连接数目（可选）

 

3）配置本地用户安全性（可选）

 

设备空配置启动时，会自动进行如下配置并写入配置文件：

• 执行local-aaa-user password policy administrator命令使能本地管理员的密码策略功能。

• 执行password expire 0命令配置本地管理员的密码不过期。

• 执行password history record number 0命令配置设备不检查修改后的本地管理员的密码与历史记录是否相同。

4）本地用户访问权限相关配置

 

5）配置去使能校验老密码功能

执行命令undo local-aaa-user change-password verify，在本地管理员用户修改自己的密码时，去使能校验老密码的功能。

缺省情况下，本地管理员用户在AAA视图下通过命令local-user user-name privilege level level修改自己的密码时，需要输入老密码进行校验。

6）去使能与用户进行交互确认的功能

执行命令undo local-user password change-offline enable，在本地管理员用户修改密码时，去使能与用户进行交互确认的功能。

缺省情况下，本地管理员用户在AAA视图下通过命令local-user user-name password修改密码时，已使能与用户进行交互确认的功能，设备会提示用户帐号将被注销，需要重新登录。

7）修改本地用户登录密码（可选）

 

8）WEB网管用户首次登录时，浏览器跳转到创建用户界面的功能

navigator first-login enable

由于缺省情况下，设备没有本地用户，因此设备出厂配置文件中包含该命令，用户通过WEB网管首次登录设备时，浏览器会跳转到创建用户的界面。用户创建完成之后，再次通过WEB网管登录设备时，不会再跳转到创建用户的界面。

此外，用户通过Console口登录设备后，用户再通过WEB网管首次登录设备时，浏览器不会跳转到创建用户的界面，会进入用户登录界面。因此，如果需要通过WEB网管登录设备，需要在Console口登录设备时创建WEB登录的本地用户。

设备出厂配置文件中包含navigator first-login enable命令，无需用户手动配置。navigator first-login enable命令仅支持通过配置文件下发，不支持在设备上输入和执行，不记录buildrun。

2.2配置授权规则

配置本地授权时，本地可配置的授权参数如下表：

 

1）配置授权VLAN

在设备上配置VLAN及VLAN内的网络资源。

2）配置授权业务方案

具体配置请看下节。

3）配置授权用户组

4）配置授权UCL组

2.3配置AAA方案

# 配置认证方案

执行命令system-view，进入系统视图。执行命令aaa，进入AAA视图。执行命令authentication-scheme authentication-scheme-name，创建一个认证方案，并进入认证方案视图或直接进入一个已存在的认证方案视图。缺省情况下，设备中有两个认证方案，认证方案名称分别是default和radius，default和radius方案均不能删除，只能修改方案下的参数。

执行命令authentication-mode local，配置认证模式为本地认证。缺省情况下，认证模式为本地认证，并且本地用户名不区分大小写。

（可选）执行命令authentication-super [ hwtacacs | radius | super ] * none，在当前认证模板下，配置对用户提升级别进行认证时采用的认证模式。缺省情况下，用户提升级别时认证模式为super，即本地认证模式。

执行命令quit，返回AAA视图。（可选）执行命令domainname-parse-directionleft-to-right
，配置域名解析的方向，从左向右或从右向左。缺省情况下，域名解析方向为从左向右。

执行命令quit，返回系统视图。（可选）执行命令aaa-authen-bypass enable time time-value，配置认证旁路时间。缺省情况下，未启用旁路认证功能。

# 配置授权方案

执行命令system-view，进入系统视图。执行命令aaa，进入AAA视图。执行命令authorization-scheme authorization-scheme-name，创建授权方案，并进入授权方案视图或直接进入一个已存在的授权方案视图。缺省情况下，设备有一个授权方案，授权方案配置名是default，不能删除，只能修改。

执行命令authorization-modelocallocal-case[ none ]，配置授权模式。缺省情况下，授权模式为本地授权模式，并且本地用户名不区分大小写。

执行命令quit，返回AAA视图。（可选）执行命令authorization-modify modemodifyoverlay，配置授权服务器下发的用户授权信息的生效模式。缺省情况下，授权服务器下发的用户授权信息的生效模式为overlay模式。

执行命令quit，返回系统视图。（可选）执行命令aaa-author-bypass enable time time-value，配置授权旁路时间。缺省情况下，未启用旁路授权功能。

2.4配置业务方案

用户需要获取授权信息才能上线，可以通过配置业务方案管理用户的授权信息。

1）进入AAA视图

2）创建业务方案

执行命令service-scheme service-scheme-name，创建一个业务方案并进入业务方案视图。

缺省情况下，设备中没有创建业务方案。

3）配置登录管理员及级别

执行命令admin-user privilege level level，配置用户可以作为管理员登录设备，同时指定登录时的管理员级别。

level参数的取值范围是0～15。缺省情况下，未配置用户级别。

4）配置相关服务器信息

 

5）在业务方案下配置重定向ACL

执行命令redirect-acl [ ipv6 ]acl-numbername acl-name，在业务方案下配置重定向ACL。

缺省情况下，业务方案中没有配置重定向ACL。

6）使能域用户的闲置切断功能

执行命令idle-cut idle-time flow-value [ inbound | outbound ]，使能域用户的闲置切断功能并配置对应的闲置切断参数。

缺省情况下，域用户的闲置切断功能处于未使能状态。（业务方案视图下的命令idle-cut，仅无线用户生效。）

7）配置同一个用户名最多可以接入的用户数量

执行命令access-limit user-name max-num number，配置同一个用户名最多可以接入的用户数量。

缺省情况下，设备对同一个用户名可以接入的用户数量不做限制，由设备支持的最大接入用户数决定。

8）在业务方案下配置用户的优先级

执行命令priority priority-value，在业务方案下配置用户的优先级。

缺省情况下，用户的优先级为0。

9）配置业务方案中控制用户网络访问策略的各种参数

# 执行命令acl-id [ ipv6 ] acl-number ，在业务方案下绑定ACL。（缺省情况下，业务方案下未绑定ACL）

# 执行命令ucl-group group-indexname group-name，在业务方案下绑定UCL组。（缺省情况下，业务方案下未绑定UCL组）

# 执行命令user-vlan vlan-id，在业务方案中配置用户VLAN。（缺省情况下，在业务方案中未配置用户VLAN）执行该命令之前，需确保已使用命令vlan创建了VLAN。

# 执行命令voice-vlan在业务方案中使能Voice VLAN功能。（缺省情况下，在业务方案中未使能Voice VLAN功能）为使本命令功能生效，需已使用命令voice-vlan enable配置指定VLAN为Voice VLAN，同时使能接口的Voice VLAN功能。

# 执行命令qos-profile profile-name，在业务方案中绑定QoS模板。（缺省情况下，在业务方案中未绑定QoS模板）执行该命令之前，需确保已配置了QoS模板。

2.5在域下应用AAA方案

创建的认证和授权方案，只有在域下应用后才能生效。采用本地方式进行认证和授权时，采用缺省的计费方案，即不计费。

1）进入AAA视图

2）创建域

执行命令domain domain-name [ domain-index domain-index ]，创建域并进入域视图或进入一个已存在的域视图。

缺省情况下，设备存在两个域：“default”和“default_admin”。“default”用于普通接入用户的域，“default_admin”用于管理员的域。

3）配置域的AAA方案

4）配置本地授权规则（可选）

5）配置域的状态和流量统计功能（可选）

6）配置流量统计功能（可选）

# 执行命令statistic enable，使能域用户的流量统计功能。缺省情况下，域用户的流量统计功能处于未使能状态。

# 执行命令accounting dual-stack separate，使能IPv4和IPv6用户流量分别统计或限速的功能。缺省情况下，设备统计流量或限速时，不区分IPv4和IPv6用户的流量。

7）配置域名解析方案（可选）

如果在AAA视图和认证模板视图下都配置了域名解析，则优先使用认证模板上的配置。认证模板下的配置仅适用于无线用户。

8）配置无线用户的允许域（此步骤仅适用于无线用户）（可选）

 

2.6检查AAA的配置结果

• 执行命令display aaa configuration，查看AAA的概要信息。

• 执行命令display authentication-scheme [ authentication-scheme-name ]，查看认证方案的配置信息。

• 执行命令display authorization-scheme [ authorization-scheme-name ]，查看授权方案的配置信息。

• 查看在线接入用户的信息，可以执行以下命令：

  • display access-user [ domain domain-name | interface interface-type interface-number [ vlan vlan-id [ qinq qinq-vlan-id ] ] | ip-address ip-address [ vpn-instance vpn-instance-name ] | ipv6-address ipv6-address | access-slot slot-id | wired | wireless ] [ detail ]

  • display access-user username user-name [ detail ]

  • display access-user ssid ssid-name

  • display access-user [ mac-address mac-address | service-scheme service-scheme-name | user-id user-id | statistics ]

  • display access-user access-type admin [ ftpssh | telnet | terminal | web ] | ppp[ username user-name ]

• 执行命令display domain [ name domain-name ]，查看域的配置信息。

• 执行命令display local-user [ domain domain-name | state activeblock| username username ] ，查看本地用户的属性信息。

• 执行命令display local-aaa-user password policy access-useradministrator，查看本地用户的密码策略信息。

• 执行命令display local-user expire-time，查看本地用户的过期时间。

• 执行命令display aaa statistics access-type-authenreq，查看认证请求数。

• 执行命令display access-user user-name-table statistics allusername username，查看根据用户名进行接入控制的用户统计信息。