华为交换机命令user-group表示的是什么意思?
的有关信息介绍如下:user-group
命令功能
user-group命令用来创建用户组或直接进入用户组视图。
undo user-group命令用来删除已创建的用户组。
缺省情况下,未配置用户组。
命令格式
user-group group-name [ group-index group-index ]
undo user-group group-name
参数说明
参数
参数说明
取值
group-name 指定用户组名称。
字符串形式,区分大小写,不支持包含空格、/、\、:、*、?、"、<、>、|、@、'和%,不支持配置为-和--,长度范围是1~64。
group-index group-index 指定用户组的索引。 整数形式,取值范围是0~7。
视图
系统视图
缺省级别
2:配置级
使用指南
应用场景
在NAC实际应用场景中,不仅接入用户数量众多而且有可能需要为每个用户配置大量ACL规则。但是,接入用户数量虽多,用户类别是有限的。
针对这种情况,可使用命令user-group在设备上创建用户组,并将每个用户组关联到一组ACL规则(请参见命令acl-id(用户组视图)),则同一组内的同类别用户将共用一组ACL规则。这样能够有效的利用有限的ACL资源支持数量众多的用户。
注意事项
设备最多支持配置32个用户组。
在创建用户组时,需确保用户组名称不能与已存在的ACL的编号相同。可使用命令display acl all查看设备上所有ACL的配置信息。
当用户组绑定的ACL对用户生效时,若需删除该用户组,则需首选执行命令cut access-user user-group使该用户组绑定的所有用户下线。
认证服务器下发的用户组授权优先级高于AAA域下应用的用户组授权,当认证服务器下发的用户组授权失败时,AAA域下应用的用户组也无法授权。例如,认证服务器下发用户组A,设备仅配置了用户组B并在AAA域下应用,此时,用户组A和用户组B授权都会失败。如果用户希望使用认证服务器下发的用户组授权,需要保证认证服务器上下发的用户组在设备上已经配置;如果用户希望使用AAA域下应用的用户组,则需要保证认证服务器不下发用户组属性。
使用实例
# 创建一个用户组test1。
<Huawei> system-view
[Huawei] user-group test1
------------------------------------------------------------------------------------------------
user-group(AAA域视图)
命令功能
user-group命令用来对域下的用户下发用户组授权。
undo user-group命令用来取消对域下的用户下发用户组授权。
缺省情况下,未配置对域下的用户下发用户组授权。
命令格式
user-group group-name
undo user-group
参数说明
参数
参数说明
取值
group-name 指定用户组名称。 必须是已存在的用户组名称。
视图
AAA域视图
缺省级别
3:管理级
使用指南
应用场景
在AAA域下配置user-group,可以对域下的用户下发用户组授权。
注意事项
本命令配置时引用的用户组必须已由user-group命令创建。
当用户组被本命令在域下配置引用后,不能直接删除。
不支持RADIUS下发的华为82号私有属性与域下用户组授权同时使用。
使用实例
# 配置域test下引用用户组group1。
<Huawei> system-view
[Huawei] aaa[Huawei-aaa] domain test[Huawei-aaa-domain-test] user-group group1
<Huawei> system-view
[Huawei] aaa[Huawei-aaa] domain test[Huawei-aaa-domain-test] user-group group1