您的位置首页百科知识

华为交换机命令user-group表示的是什么意思?

华为交换机命令user-group表示的是什么意思?

的有关信息介绍如下:

华为交换机命令user-group表示的是什么意思?

user-group

命令功能

user-group命令用来创建用户组或直接进入用户组视图。

undo user-group命令用来删除已创建的用户组。

缺省情况下,未配置用户组。

命令格式

user-group group-name [ group-index group-index ]

undo user-group group-name

参数说明

参数

参数说明

取值

group-name    指定用户组名称。    

字符串形式,区分大小写,不支持包含空格、/、\、:、*、?、"、<、>、|、@、'和%,不支持配置为-和--,长度范围是1~64。

   

group-index group-index    指定用户组的索引。    整数形式,取值范围是0~7。    

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在NAC实际应用场景中,不仅接入用户数量众多而且有可能需要为每个用户配置大量ACL规则。但是,接入用户数量虽多,用户类别是有限的。

针对这种情况,可使用命令user-group在设备上创建用户组,并将每个用户组关联到一组ACL规则(请参见命令acl-id(用户组视图)),则同一组内的同类别用户将共用一组ACL规则。这样能够有效的利用有限的ACL资源支持数量众多的用户。

注意事项

设备最多支持配置32个用户组。

在创建用户组时,需确保用户组名称不能与已存在的ACL的编号相同。可使用命令display acl all查看设备上所有ACL的配置信息。

当用户组绑定的ACL对用户生效时,若需删除该用户组,则需首选执行命令cut access-user user-group使该用户组绑定的所有用户下线。

认证服务器下发的用户组授权优先级高于AAA域下应用的用户组授权,当认证服务器下发的用户组授权失败时,AAA域下应用的用户组也无法授权。例如,认证服务器下发用户组A,设备仅配置了用户组B并在AAA域下应用,此时,用户组A和用户组B授权都会失败。如果用户希望使用认证服务器下发的用户组授权,需要保证认证服务器上下发的用户组在设备上已经配置;如果用户希望使用AAA域下应用的用户组,则需要保证认证服务器不下发用户组属性。

使用实例

# 创建一个用户组test1。

<Huawei> system-view

[Huawei] user-group test1

------------------------------------------------------------------------------------------------

user-group(AAA域视图)

命令功能

user-group命令用来对域下的用户下发用户组授权。

undo user-group命令用来取消对域下的用户下发用户组授权。

缺省情况下,未配置对域下的用户下发用户组授权。

命令格式

user-group group-name

undo user-group

参数说明

参数

参数说明

取值

group-name    指定用户组名称。    必须是已存在的用户组名称。    

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

在AAA域下配置user-group,可以对域下的用户下发用户组授权。

注意事项

本命令配置时引用的用户组必须已由user-group命令创建。

当用户组被本命令在域下配置引用后,不能直接删除。

不支持RADIUS下发的华为82号私有属性与域下用户组授权同时使用。

使用实例

# 配置域test下引用用户组group1。

<Huawei> system-view

[Huawei] aaa[Huawei-aaa] domain test[Huawei-aaa-domain-test] user-group group1

<Huawei> system-view

[Huawei] aaa[Huawei-aaa] domain test[Huawei-aaa-domain-test] user-group group1