- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-用戶身份識別和管理命令
本章節下載: 08-用戶身份識別和管理命令 (387.42 KB)
目 錄
1.1.3 connection-detect enable
1.1.5 display user-identity active-user-group
1.1.6 display user-identity all
1.1.7 display user-identity online-user
1.1.8 display user-identity restful-server
1.1.9 display user-identity security-manage-server
1.1.10 display user-identity user-import-policy
1.1.17 reset user-identity dynamic-online-user
1.1.18 reset user-identity user-account
1.1.19 reset user-identity user-group
1.1.23 user-identity online-user import policy
1.1.24 user-identity online-user-name-match
1.1.25 user-identity restful-server
1.1.26 user-identity security-manage-server
1.1.27 user-identity static-user
1.1.28 user-identity user-account auto-import policy
1.1.29 user-identity user-account export url
1.1.30 user-identity user-account import policy
1.1.31 user-identity user-account import url
1.1.32 user-identity user-import-policy
account-update-interval命令用來配置自動導入身份識別用戶賬戶的周期。
undo account-update-interval命令用來恢複缺省情況。
【命令】
account-update-interval interval
undo account-update-interval
【缺省情況】
自動導入身份識別用戶賬戶的周期為24小時。
【視圖】
身份識別用戶導入策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval:表示導入身份識別用戶賬戶的周期,取值範圍為1~65536,單位為小時。
【使用指導】
身份識別用戶導入策略處於開啟狀態時,設備將以本命令指定的周期從服務器上導入所有身份識別用戶賬戶,使得設備與服務器上的賬戶信息定期保持一致。
【舉例】
# 在身份識別用戶導入策略policy1中,配置自動導入身份識別用戶賬戶的周期為12小時。
<Sysname> system-view
[Sysname] user-identity user-import-policy policy1
[Sysname-identity-user-impt-policy-policy1] account-update-interval 12
【相關命令】
· user-identity user-account auto-import policy
connection-detect命令用來配置對RESTful服務器的探測參數。
undo connection-detect命令用來恢複缺省情況。
【命令】
connection-detect { interval interval | maximum max-times }
undo connection-detect { interval | maximum }
【缺省情況】
對RESTful服務器的探測周期為5分鍾,每周期內的最大探測次數為3。
【視圖】
RESTful服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval interval:探測周期,取值範圍為1~10,單位為分鍾。
maximum max-times:每個探測周期內的最大探測次數,取值範圍為1~5。
【使用指導】
如果對設備與RESTful服務器的連接狀態要求比較高,建議設置較小的探測周期,以及較大的探測次數。
配置的探測周期不建議太小,因為探測周期過小會增加設備與RESTful服務器交互的頻率,增加RESTful服務器負擔,具體配置請結合RESTful服務器的性能參數綜合考慮。
【舉例】
# 配置對RESTful服務器rest1的探測周期為2分鍾,每周期內的最大探測次數為3。
<Sysname> system-view
[Sysname] user-identity restful-server rest1
[Sysname-restfulserver-rest1] connection-detect interval 2
[Sysname-restfulserver-rest1] connection-detect maximum 3
【相關命令】
· connection-detect enable
· display user-identity restful-server
· login-name
· uri
· user-identity restful-server
connection-detect enable命令用來開啟對RESTful服務器的探測功能。
undo connection-detect enable命令用來關閉對RESTful服務器的探測功能。
【命令】
connection-detect enable
undo connection-detect enable
【缺省情況】
對RESTful服務器的探測功能處於關閉狀態。
【視圖】
RESTful服務器視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟本探測功能後,設備將立即與該RESTful服務器進行交互,探測與RESTful服務器的連接狀態(可達或者不可達)。此連接狀態可被安全業務模塊作為用戶接入控製策略的參考信息。
開啟本探測功能前,必須要配置RESTful視圖下的login-name以及uri命令。
設備在一個探測周期內(時長由connection-detect interval interval命令設置),會嚐試發起多次探測(次數由connection-detect maximum max-times命令設置)來決定服務器是否可達,具體如下:
· 隻要設備收到服務器回應,即認為服務器可達,並停止探測。
· 若設備在最大嚐試次數達到之後,仍然未收到服務器回應,則認為服務器不可達。
上一輪探測周期結束後,設備自動進入下一輪探測,過程同上。
關閉本探測功能後,設備將停止與RESTful服務器進行探測交互。
【舉例】
# 開啟對RESTful服務器rest1的探測功能。
<Sysname> system-view
[Sysname] user-identity restful-server rest1
[Sysname-restfulserver-rest1] connection-detect enable
【相關命令】
· connection-detect
· display user-identity restful-server
· uri
· user-identity restful-server
display user-identity命令用來顯示指定的身份識別用戶或身份識別用戶組。
【命令】
display user-identity { domain domain-name | null-domain } { user [ user-name [ group ] ] | user-group [ group-name [ member { group | user } ] ] }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
domain domain-name:表示身份識別域的名稱,為1~255個字符的字符串,不區分大小寫。
null-domain:表示未加入任何身份識別域的身份識別用戶或身份識別用戶組。
user:顯示身份識別用戶信息。
user-name:身份識別用戶名,為1~55個字符的字符串,區分大小寫。若不指定該參數,則表示顯示所有身份識別用戶的信息。
group:顯示用戶所屬用戶組。若不指定該參數,則不顯示用戶組信息。
user-group:顯示身份識別用戶組信息。
group-name:用戶組名,為1~200個字符的字符串,不區分大小寫。若不指定該參數,則表示顯示所有身份識別用戶組的配置信息。
member:顯示身份識別的成員信息。若不指定該參數,則不顯示成員信息。
group:用戶組成員。
user:用戶成員。
【使用指導】
本命令顯示的身份識別用戶或身份識別用戶組信息,包括從本地用戶數據庫學習的和從CSV文件、服務器導入的身份識別用戶賬戶以及身份識別用戶組的信息。
【舉例】
# 顯示system域下所有身份識別用戶組的信息。
<Sysname> display user-identity domain system user-group
Identity domain: system
Group ID Group name
0x888 abc
0x123 gp1
Total 2 records matched.
# 顯示system域下身份識別用戶組abc的信息。
<Sysname> display user-identity domain system user-group abc
Identity domain: system
Group ID Group name
0x888 abc
Total 1 records matched.
# 顯示system域下身份識別用戶組abc中的用戶成員信息。
<Sysname> display user-identity domain system user-group abc member user
Identity domain: system
User ID Username
0x234 user1
0xffffffff user2
Total 2 records matched.
# 顯示system域下身份識別用戶組abc中的用戶組成員信息。
<Sysname> display user-identity domain system user-group abc member group
Identity domain: system
Group ID Group name
0x567 group1
0x111 group2
Total 2 records matched.
# 顯示system域下所有身份識別用戶的信息。
<Sysname> display user-identity domain system user
Identity domain: system
User ID Username
0x234 user1
0xffffffff user2
Total 2 records matched.
# 顯示system域下身份識別用戶user1的信息。
<Sysname> display user-identity domain system user user1
Identity domain: system
User ID Username
0x234 user1
Total 1 records matched.
# 顯示system域下身份識別用戶user1的用戶組信息。
<Sysname> display user-identity domain system user user1 group
Identity domain: system
Group ID Group name
0x888 abc
0x123 gp1
Total 2 records matched.
# 顯示未加入任何身份識別域的身份識別用戶信息。
<Sysname> display user-identity null-domain user
User ID Username
0x1 test
0x3 jj
0x2 abc
Total 3 records matched.
表1-1 display user-identity命令顯示信息描述表
|
字段 |
描述 |
|
Identity domain |
身份識別用戶或身份識別用戶組所屬身份識別域的名稱 若用戶或用戶組不屬於任何身份識別域,則不顯示該字段 |
|
Username |
用戶名 |
|
User ID |
用戶ID |
|
Group name |
用戶組名 |
|
Group ID |
用戶組ID |
|
Total n records matched |
匹配的用戶或用戶組數目 |
【相關命令】
· reset user-identity user-account
· reset user-identity user-group
display user-identity active-user-group命令用來顯示激活的身份識別用戶組。
【命令】
display user-identity active-user-group { all | domain domain-name | null-domain }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
all:顯示所有身份識別域下的激活用戶組。
domain domain-name:顯示指定身份識別域下的激活用戶組。domain-name表示身份識別域的名稱,為1~255個字符的字符串,不區分大小寫。
null-domain:顯示未加入任何身份識別域的激活用戶組。
【使用指導】
當身份識別用戶組被安全策略等安全特性引用之後,若該引用配置生效,則該用戶組將處於激活狀態。隻有身份識別用戶組處於激活狀態時,該用戶組才能在基於用戶身份的訪問控製過程中生效。
【舉例】
# 顯示身份識別域system下的激活的身份識別用戶組信息。
<Sysname> display user-identity active-user-group domain system
Identity domain: system
Group ID Group name
0x888 abc
0x123 gp1
Total 2 records matched.
表1-2 display user-identity active-user-group命令顯示信息描述表
|
字段 |
描述 |
|
Identity domain |
身份識別用戶組所屬的身份識別域名 若用戶不屬於任何身份識別域,則不顯示該字段 |
|
Group ID |
身份識別用戶組的ID |
|
Group name |
身份識別用戶組名 |
|
Total n records matched |
匹配的用戶組數目 |
【相關命令】
· reset user-identity user-group
display user-identity all命令用來顯示所有身份識別用戶或身份識別用戶組。
【命令】
display user-identity all { user | user-group }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
user:顯示身份識別用戶信息。
user-group:顯示身份識別用戶組信息。
【使用指導】
本命令顯示的身份識別用戶或身份識別用戶組信息,包括從本地用戶數據庫學習的和從CSV文件以及第三方服務器導入的身份識別用戶賬戶及身份識別用戶組的信息。
【舉例】
# 顯示所有身份識別用戶信息。
<Sysname> display user-identity all user
Identity domain: system
User ID Username
0x121 test1
0x123 test2
Identity domain: 11
User ID Username
0x888 test3
0x899 test4
Total 4 records matched.
表1-3 display user-identity all user命令顯示信息描述表
|
字段 |
描述 |
|
Identity domain |
身份識別用戶所屬身份識別域的名稱 若用戶不屬於任何身份識別域,則不顯示該字段 |
|
User ID |
用戶ID |
|
Username |
用戶名 |
|
Total n records matched |
匹配的用戶數目 |
# 顯示所有身份識別用戶組。
<Sysname> display user-identity all user-group
Identity domain: system
Group ID Group name
0x888 abc
0x123 gp1
Identity domain: 11
Group ID Group name
0x255 001
0x256 002
Total 4 records matched.
表1-4 display user-identity all user-group命令顯示信息描述表
|
字段 |
描述 |
|
Identity domain |
身份識別用戶組所屬身份識別域的名稱 若用戶組不屬於任何身份識別域,則不顯示該字段 |
|
Group ID |
用戶組ID |
|
Group name |
用戶組 |
|
Total n records matched |
匹配的用戶組數目 |
【相關命令】
· reset user-identity user-account
· reset user-identity user-group
display user-identity online-user命令用來顯示在線身份識別用戶。
【命令】
display user-identity online-user { all | { domain domain-name | null-domain } name user-name }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
all:表示所有在線身份識別用戶。
domain domain-name:指定在線身份識別用戶所屬的身份識別域。domain-name表示身份識別域名,為1~255個字符的字符串,不區分大小寫。
null-domain:表示未加入任何身份識別域的在線身份識別用戶。
name user-name:指定在線身份識別用戶的用戶名。user-name表示用戶名,為1~55個字符的字符串,區分大小寫,不能攜帶域名。
【使用指導】
在線身份識別用戶包括兩類:由靜態配置生成的靜態在線身份識別用戶,以及由設備動態生成的動態在線身份識別用戶。
【舉例】
# 顯示system域下名稱為user1的在線身份識別用戶信息。
<Sysname> display user-identity online-user domain system name user1
User name: user1
Identity domain: system
IP : 199.199.0.15
MAC : 0001-0002-0003
Type: Static
Total 1 records matched.
表1-5 display user-identity online-user命令顯示信息描述表
|
字段 |
描述 |
|
User name |
身份識別用戶的名稱 |
|
Identity domain |
身份識別用戶所屬的身份識別域 若用戶不屬於任何身份識別域,則不顯示該字段 |
|
IP |
身份識別用戶的IP地址 若沒有獲取到IP地址信息,則不顯示該字段 |
|
MAC |
身份識別用戶的MAC地址 若沒有獲取到MAC地址信息,則不顯示該字段 |
|
Type |
身份識別用戶的類型,包括以下取值: · Static:靜態在線身份識別用戶 · Dynamic:動態在線身份識別用戶 |
|
Total n records matched |
匹配的用戶數目 |
【相關命令】
· reset user-identity dynamic-online-user
· user-identity static-user
display user-identity restful-server命令用來顯示RESTful服務器配置。
【命令】
display user-identity restful-server [ server-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
server-name:表示RESTful服務器的名稱,為1~31個字符的字符串,不區分大小寫。如果不指定本參數,則表示顯示所有RESTful服務器的配置信息。
【舉例】
# 顯示RESTful服務器rest1的配置。
<Sysname> display user-identity restful-server rest1
RESTful server name: rest1
Login name: u1
Vpn Instance: v1
Get User URI: http://1.1.1.1:8080/imcrs/ssm/imcuser/accessUser
Get User Group URI: http://1.1.1.1:8080/imcrs/ssm/imcuser/accessUserGroup
Get Online User URI: http://1.1.1.1:8080/imcrs/ssm/imcuser/onlineUser
Put Online User URI: http://1.1.1.1:8080/imcrs/ssm/imcuser/uploadOnlineUser
Put Offline User URI: http://1.1.1.1:8080/imcrs/ssm/imcuser/uploadOfflineUser
Connectivity detection: Enabled
Detection interval: 1 minutes
Connectivity status: Reachable
# 顯示RESTful服務器rest2的配置。
<Sysname> display user-identity restful-server rest2
RESTful server name: rest2
Login name: u2
Get User URI: http://1.1.1.1:8080/imcrs/uam/acmUser/acmUserList
Get User Group URI: http://1.1.1.1:8080/imcrs/uam/acmUser/userGroup
Get Online User URI: http://1.1.1.1:8080/imcrs/uam/online
Connectivity detection: Enabled
Detection interval: 1 minutes
Maximum times: 1
Connectivity status: Reachable
表1-6 display user-identity restful-server命令顯示信息描述表
|
字段 |
描述 |
|
Login name |
連接到RESTful服務器所需的用戶名 |
|
Vpn Instance |
RESTful服務器所屬VPN實例名稱 若屬於公網,則不顯示本字段 |
|
Get User URI |
請求用戶賬戶信息的URI |
|
Get User Group URI |
請求用戶組信息的URI |
|
Get Online User URI |
請求在線用戶信息的URI |
|
Put Online User URI |
上傳在線用戶信息的URI |
|
Put Offline User URI |
上傳下線用戶信息的URI |
|
Connectivity detection |
RESTful服務器探測功能的開啟狀態 · Enabled:開啟 · Disabled:關閉 |
|
Detection interval |
設備對RESTful服務器的探測周期,單位為分鍾 |
|
Maximum times |
設備對RESTful服務器的最大探測次數 |
|
Connectivity status |
設備對RESTful服務器的探測結果 · Reachable:可達 · Unreachable:不可達 若未開啟RESTful服務器探測功能,則不顯示本字段 |
【相關命令】
· connection-detect
· connection-detect enable
· login-name
· uri
· user-identity restful-server
· vpn-instance
display user-identity security-manage-server命令用來顯示Security Manage服務器集的配置信息。
【命令】
display user-identity security-manage-server [ server-set-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
server-set-name:表示Security Manage服務器集的名稱,為1~31個字符的字符串,不區分大小寫。如果不指定本參數,則表示顯示所有Security Manage服務器集的配置信息。目前,係統中僅能存在一個Security Manage服務器集。
【舉例】
# 顯示Security Manage服務器集sec1的配置信息。
<Sysname> display user-identity security-manage-server sec1
Security management server set: sec1
IP addresses: 192.168.0.1,10.113.0.1
Listening port: 8200
Encryption algorithm: 3DES
Total 1 records matched
表1-7 display user-identity security-manage-server命令顯示信息描述表
|
字段 |
描述 |
|
Security management server set |
Security Manage服務器集的名稱 |
|
IP address |
Security Manage服務器的IP地址 |
|
Listening port |
設備監聽Security Manage服務器的端口號 |
|
Encryption algorithm |
與Security Manage服務器交互報文時使用的加密算法 |
|
Total n records matched |
匹配的Security Manage服務器集數目 |
【相關命令】
· encryption
· ip
· listen-port
· user-identity security-manage-server
display user-identity user-import-policy命令用來顯示身份識別用戶導入策略。
【命令】
display user-identity user-import-policy [ policy-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
policy-name:表示身份識別用戶導入策略名,為1~31個字符的字符串,不區分大小寫。若不指定該參數,則顯示所有的身份識別用戶導入策略。
【舉例】
# 顯示身份識別用戶導入策略policy1的配置信息。
<Sysname> display user-identity user-import-policy policy1
Policy name: policy1
Interval time: 24 hours
RESTful server name:
ser1
LDAP import type: All
LDAP scheme name:
ldap-scheme
Total 1 records matched.
表1-8 display user-identity user-import-policy命令顯示信息描述表
|
字段 |
描述 |
|
Policy name |
身份識別用戶導入策略名稱 |
|
Interval time |
自動導入身份識別用戶賬戶的周期,單位為小時 |
|
RESTful server name |
RESTful服務器名稱 |
|
LDAP import type |
從LDAP服務器上導入的用戶信息類型,包括以下取值: · All:表示導入用戶和用戶組信息 · User:表示導入用戶信息 · Group:表示導入用戶組信息 |
|
LDAP scheme name |
LDAP方案名稱 |
|
Total n records matched |
匹配的策略數目 |
【相關命令】
· import-type
· user-identity user-import-policy
encryption命令用來配置與Security Manage服務器交互使用的加密算法與共享密鑰。
undo encryption命令用來恢複缺省情況。
【命令】
encryption algorithm { 3des | aes128 } key { simple | cipher } string
undo encryption algorithm
【缺省情況】
未配置與Security Manage服務器交互時使用的加密算法與共享密鑰。
【視圖】
Security Manage服務器集視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
algorithm:表示加密算法。
3des:表示3DES算法。
aes128:表示密鑰長度為128比特的AES算法。
key:表示共享密鑰。
cipher:以密文形式設置密鑰。
simple:以明文形式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。加密方式為3des時,明文密鑰為1~24個字符的字符串,密文密鑰為1~65個字符的字符串;加密方式為aes128時,明文密鑰為1~16個字符的字符串,密文密鑰為1~53個字符的字符串。
【使用指導】
設備與Security Manage服務器連接時,使用配置的加密算法和共享密鑰對交互的報文進行加密和解密。配置加密算法和共享密鑰必須與要連接的Security Manage服務器使用的加密算法和共享密鑰保持一致,否則設備無法正確處理與該服務器交互的報文。
【舉例】
# 在Security Manage服務器集sec1中,配置和Security Manage服務器交互使用的加密算法為3des、共享密鑰為明文123。
<Sysname> system-view
[Sysname] user-identity security-manage-server sec1
[Sysname-identity-sec-manage-server-sec1] encryption algorithm 3des key simple 123
【相關命令】
· display user-identity security-manage-server
import-type命令用來配置從LDAP服務器上導入的用戶信息類型。
undo import-type命令用來恢複缺省情況。
【命令】
import-type { all | group | user }
undo import-type
【缺省情況】
未配置從LDAP服務器上導入的用戶信息類型,允許導入用戶和用戶組信息。
【視圖】
身份識別用戶導入策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all:表示導入用戶和用戶組信息。
group:表示導入用戶組信息。
user:表示導入用戶信息。
【使用指導】
根據實際導入需求選擇一個對應的類型進行配置,導入時會根據配置的導入類型從LDAP服務器將該類型信息導入到設備上。
多次配置本命令,僅最後一次執行的命令生效。
【舉例】
# 配置從LDAP服務器上導入的用戶類型為所有類型,即包括用戶和用戶組信息。
<Sysname> system-view
[Sysname] user-identity user-import-policy policy
[Sysname-identity-user-impt-policy-policy] import-type all
【相關命令】
· display user-identity user-import-policy
ip命令用來配置Security Manage服務器的IP地址。
undo ip命令用來刪除配置的Security Manage服務器的IP地址。
【命令】
ip ip-address&<1-10>
undo ip { ip-address&<1-10> | all }
【缺省情況】
未配置Security Manage服務器的IP地址。
【視圖】
Security Manage服務器集視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address&<1-10>:指定服務器的IP地址,不能為全0地址。&<1-10>表示前麵的參數最多可以輸入10次。
all:表示所有IP地址。
【使用指導】
一個Security Manage服務器集視圖中,最多可以配置20個Security Manage服務器的IP地址。
【舉例】
# 在Security Manage服務器集sec1中,配置服務器IP地址包括192.168.0.1和10.113.0.1。
<Sysname> system-view
[Sysname] user-identity security-manage-server sec1
[Sysname-identity-sec-manage-server-sec1] ip 192.168.0.1 10.113.0.1
【相關命令】
· display user-identity security-manage-server
ldap-scheme命令用來指定LDAP方案。
undo ldap-scheme命令用來刪除LDAP方案。
【命令】
ldap-scheme ldap-scheme-name
undo ldap-scheme ldap-scheme-name
【缺省情況】
未指定LDAP方案。
【視圖】
身份識別用戶導入策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ldap-scheme-name:LDAP方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
指定的LDAP方案中定義了LDAP服務器的相關參數,用戶可以通過執行user-identity user-account import policy命令從該方案定義的LDAP服務器上導入身份識別用戶賬戶信息。但是,係統不支持從LDAP服務器上導入在線身份識別用戶信息。
最多可以指定16個LDAP方案,使得可以同時從多個LDAP服務器上導入身份識別用戶賬戶信息。
【舉例】
# 在身份識別用戶導入策略policy1中,指定名稱為ser2的LDAP方案。
<Sysname> system-view
[Sysname] user-identity user-import-policy policy1
[Sysname-identity-user-impt-policy-policy1] ldap-scheme ser2
【相關命令】
· display user-identity user-import-policy
· ldap scheme(安全命令參考/AAA)
listen-port命令用來配置設備監聽Security Manage服務器的端口號。
undo listen-port命令用來恢複缺省情況。
【命令】
listen-port port-num
undo listen-port
【缺省情況】
設備監聽Security Manage服務器的端口號為8001。
【視圖】
Security Manage服務器集視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-num:表示UDP端口號,取值範圍為1~65535。
【使用指導】
配置的設備監聽Security Manage服務器的端口號必須與Security Manage服務器發送在線用戶消息使用的端口號保持一致,否則設備無法與該服務器成功建立連接。
【舉例】
# 在Security Manage服務器集sec1中,配置設備監聽Security Manage服務器的端口號為8084。
<Sysname> system-view
[Sysname] user-identity security-manage-server sec1
[Sysname-identity-sec-manage-server-sec1] listen-port 8084
【相關命令】
· display user-identity security-manage-server
login-name命令用來配置登錄到RESTful服務器所需的用戶名和密碼。
undo login-name命令用來恢複缺省情況。
【命令】
login-name user-name password { cipher | simple } string
undo login-name
【缺省情況】
未配置登錄到RESTful服務器所需的用戶名和密碼。
【視圖】
RESTful服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
user-name:表示用戶名,為1~55字符的字符串,區分大小寫。
password:表示密碼。
cipher:表示以密文方式設置密碼。
simple:表示以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~63個字符的字符串,密文密碼為1~117個字符的字符串。
【使用指導】
設備與RESTful服務器建立連接時,服務器首先需要驗證連接請求發起方的合法性。本命令配置的用戶名和密碼,即為設備向RESTful服務器提供的身份信息。RESTful服務器驗證該用戶名和密碼成功後,才允許連接請求發起方與之建立連接,以及獲取相應的服務器資源。
本命令指定的用戶名和密碼,必須在RESTful服務器上已經存在。
【舉例】
# 配置與RESTful服務器rest1建立連接時使用的登錄用戶名為abc,密碼為明文123。
<Sysname> system-view
[Sysname] user-identity restful-server rest1
[Sysname-restfulserver-rest1] login-name abc password simple 123
【相關命令】
· display user-identity restful-server
· user-identity restful-server
reset user-identity dynamic-online-user命令用來刪除動態的在線身份識別用戶。
【命令】
reset user-identity dynamic-online-user { all | { domain domain-name | null-domain } [ name user-name ] | { ip ipv4-address | ipv6 ipv6-address }[ mac mac-address ] }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all:所有動態的在線身份識別用戶信息。
domain domain-name:身份識別用戶所屬的身份識別域。domain-name表示域名,為1~255個字符的字符串,不區分大小寫。
null-domain:未加入任何身份識別域的身份識別用戶信息。
name user-name:表示用戶名,為1~55個字符的字符串,區分大小寫。如果不指定該參數,則表示指定身份識別域或者未加入任何身份識別域的所有在線身份識別用戶。
ip ipv4-address:身份識別用戶的IPv4地址。
ipv6 ipv6-address:身份識別用戶的IPv6地址。
mac mac-address:身份識別用戶的MAC地址,格式為H-H-H。若不指定該參數,則表示同一用戶名,不同MAC地址的所有在線身份識別用戶。
【使用指導】
動態的在線身份識別用戶信息是指,設備從遠程服務器上動態學習到的在線身份識別用戶信息。靜態的在線身份識別用戶信息是由靜態配置產生的,不能通過本命令刪除,可以通過執行undo user-identity static-user命令刪除。
【舉例】
# 刪除全部動態在線身份識別用戶信息。
<Sysname> reset user-identity dynamic-online-user all
# 刪除身份識別域abc下的所有動態在線身份識別用戶信息。
<Sysname> reset user-identity dynamic-online-user domain abc
# 刪除身份識別域dom1下名稱為user1的動態在線身份識別用戶信息。
<Sysname> reset user-identity dynamic-online-user domain dom1 name user1
# 刪除用戶名為user2且未加入任何身份識別域的動態在線身份識別用戶信息。
<Sysname> reset user-identity dynamic-online-user null-domain name user2
# 刪除IP地址為1.2.3.4的動態在線身份識別用戶信息。
<Sysname> reset user-identity dynamic-online-user ip 1.2.3.4
# 刪除IP地址為1.2.3.4、MAC地址為2222-3333-4444的動態在線身份識別用戶信息。
<Sysname> reset user-identity dynamic-online-user ip 1.2.3.4 mac 2222-3333-4444
# 刪除MAC地址為2222-3333-4444的動態在線身份識別用戶信息。
<Sysname> reset user-identity dynamic-online-user mac 2222-3333-4444
【相關命令】
· display user-identity online-user
reset user-identity user-account命令用來刪除身份識別用戶賬戶。
【命令】
reset user-identity user-account { all | { domain domain-name | null-domain } [ name user-name ] }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all:所有身份識別用戶賬戶信息。
domain domain-name:表示身份識別域的名稱,為1~255個字符的字符串,不區分大小寫。
null-domain:未加入任何身份識別域的身份識別用戶賬戶信息。
name user-name:表示身份識別用戶的賬戶名,為1~55個字符的字符串,區分大小寫。若不指定該參數,則表示刪除所有指定身份識別域的或未加入任何身份識別域的身份識別用戶賬戶。
【使用指導】
此命令用來刪除從服務器導入或者從CSV文件導入的身份識別用戶賬戶信息。
從本地用戶數據庫中學習到的身份識別用戶賬戶不能通過該命令刪除。
【舉例】
# 刪除所有身份識別用戶賬戶信息。
<Sysname> reset user-identity user-account all
# 刪除身份識別域dom1下名稱為test的身份識別用戶賬戶信息。
<Sysname> reset user-identity user-account domain dom1 name test
【相關命令】
· display user-identity all user
reset user-identity user-group命令用來刪除身份識別用戶組。
【命令】
reset user-identity user-group { all | { domain domain-name | null-domain } [ name group-name ] }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all:所有身份識別用戶組信息。
domain domain-name:表示身份識別域的名稱,為1~255個字符的字符串,不區分大小寫。
null-domain:未加入任何身份識別域的身份識別用戶組。
name group-name:身份識別用戶組名,為1~200個字符的字符串,不區分大小寫。若不指定該參數,則表示刪除所有指定身份識別域的或未加入任何身份識別域的身份識別用戶組。
【使用指導】
本命令用來刪除從遠程服務器和CVS文件導入的身份識別用戶組,而從本地用戶數據庫學習到的身份識別用戶組不能通過該命令刪除。
【舉例】
# 刪除全部身份識別用戶組信息。
<Sysname> reset user-identity user-group all
# 刪除身份識別域dom1下名稱為g1的身份識別用戶組信息。
<Sysname> reset user-identity user-group domain dom1 name g1
【相關命令】
· display user-identity all user-group
restful-server命令用來指定RESTful服務器。
undo restful-server命令用來恢複缺省情況。
【命令】
restful-server server-name
undo restful-server server-name
【缺省情況】
未指定RESTful服務器。
【視圖】
身份識別用戶導入策略視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
server-name:RESTful服務器名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
指定的RESTful服務器中定義了RESTful服務器的相關參數,用戶可以通過執行user-identity user-account import policy命令從該服務器上導入身份識別用戶賬戶,通過執行user-identity online-user import policy命令從該服務器上導入在線身份識別用戶。
最多隻能指定一個RESTful服務器。如需指定其它的RESTful服務器,請先通過undo restful-server命令刪除已經指定的RESTful服務器。
【舉例】
# 在身份識別用戶導入策略policy1中,指定名稱為ser1的RESTful服務器。
<Sysname> system-view
[Sysname] user-identity user-import-policy policy1
[Sysname-identity-user-impt-policy-policy1] restful-server ser1
【相關命令】
· display user-identity restful-server
· display user-identity user-import-policy
· user-identity restful-server
uri命令用來指定RESTful服務器的URI。
undo uri命令用來刪除指定的RESTful服務器URI。
【命令】
uri { get-online-user | get-user-database | get-user-group-database | put-offline-user | put-online-user } uri-string
undo uri { get-online-user | get-user-database | get-user-group-database | put-offline-user | put-online-user }
【缺省情況】
未指定RESTful服務器的URI。
【視圖】
RESTful服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
get-online-user:表示請求網絡接入類在線用戶信息的URI。
get-user-database:表示請求網絡接入類用戶賬戶信息的URI。
get-user-group-database:表示請求用戶組信息的URI。
put-offline-user:表示上傳下線用戶信息的URI。
put-online-user:表示上傳在線用戶信息的URI。
uri-string:URI名稱,為1~255字符的字符串,不區分大小寫。
【使用指導】
本命令指定的URI必須與RESTful服務器上提供各類用戶資源服務的URI保持一致,否則將會導致用戶信息交互失敗。
新增或刪除一個在線身份識別用戶時,若該用戶來源不是指定的RESTful服務器,則設備會將這些上線/下線用戶信息上傳給RESTful服務器。
可通過多次執行本命令,指定的不同服務類型的RESTful服務器URI。
【舉例】
# 指定向RESTful服務器rest1請求網絡接入類在線用戶信息的URI為http://1.1.1.1:8080/imcrs/ssm/imcuser/onlineUser。
<Sysname> system-view
[Sysname] user-identity restful-server rest1
[Sysname-restfulserver-rest1] uri get-online-user http://1.1.1.1:8080/imcrs/ssm/imcuser/onlineUser
# 指定向RESTful服務器rest1請求網絡接入類用戶賬戶信息的URI為http://1.1.1.1:8080/imcrs/ssm/imcuser/accessUser。
<Sysname> system-view
[Sysname] user-identity restful-server rest1
[Sysname-restfulserver-rest1] uri get-user-database http://1.1.1.1:8080/imcrs/ssm/imcuser/accessUser
# 指定向RESTful服務器rest1請求用戶組信息的URI為http://1.1.1.1:8080/imcrs/ssm/imcuser/accessUserGroup。
<Sysname> system-view
[Sysname] user-identity restful-server rest1
[Sysname-restfulserver-rest1] uri get-user-group-database http://1.1.1.1:8080/imcrs/ssm/imcuser/accessUserGroup
# 指定向RESTful服務器rest1上傳下線用戶信息的URI為http://1.1.1.1:8080/imcrs/ssm/imcuser/uploadOfflineUser。
<Sysname> system-view
[Sysname] user-identity restful-server rest1
[Sysname-restfulserver-rest1] uri put-offline-user http://1.1.1.1:8080/imcrs/ssm/imcuser/uploadOfflineUser
# 指定向RESTful服務器rest1上傳在線用戶信息的URI為http://1.1.1.1:8080/imcrs/ssm/imcuser/uploadOnlineUser。
<Sysname> system-view
[Sysname] user-identity restful-server rest1
[Sysname-restfulserver-rest1] uri put-online-user http://1.1.1.1:8080/imcrs/ssm/imcuser/uploadOnlineUser
# 指定向RESTful服務器rest2的EIA組件請求網絡接入類在線用戶信息的URI為http://1.1.1.1:8080/imcrs/uam/online。
<Sysname> system-view
[Sysname] user-identity restful-server rest2
[Sysname-restfulserver-rest1] uri get-online-user http://1.1.1.1:8080/imcrs/uam/online
# 指定向RESTful服務器rest2的EIA組件請求網絡接入類用戶賬戶信息的URI為
http://1.1.1.1:8080/imcrs/uam/acmUser/acmUserList。
<Sysname> system-view
[Sysname] user-identity restful-server rest2
[Sysname-restfulserver-rest1] uri get-user-database http:// 1.1.1.1:8080/imcrs/uam/acmUser/acmUserList
# 指定向RESTful服務器rest2的EIA組件請求用戶組信息的URI為http://1.1.1.1:8080/imcrs/uam/acmUser/userGroup。
<Sysname> system-view
[Sysname] user-identity restful-server rest2
[Sysname-restfulserver-rest1] uri get-user-group-database http:// 1.1.1.1:8080/imcrs/uam/acmUser/userGroup
【相關命令】
· display user-identity restful-server
· user-identity restful-server
user-identity enable命令用來開啟用戶身份識別功能。
undo user-identity enable命令用來關閉用戶身份識別功能。
【命令】
user-identity enable
undo user-identity enable
【缺省情況】
用戶身份識別功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟用戶身份識別功能後,用戶身份識別模塊才會與接入模塊以及應用模塊一起聯動實現基於用戶身份的訪問控製。
【舉例】
# 開啟用戶身份識別功能。
<Sysname> system-view
[Sysname] user-identity enable
user-identity online-user import policy命令用來導入服務器上的在線身份識別用戶。
【命令】
user-identity online-user import policy policy-name
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:身份識別用戶導入策略名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
執行該命令後,係統將向身份識別用戶導入策略中指定的服務器發起一次連接請求,之後導入服務器上的網絡接入類在線用戶信息(用戶名、身份識別域名、用戶組名、IP地址、MAC地址)。
隻有用戶身份識別功處於開啟狀態,才能成功執行本命令。
【舉例】
# 從名稱為policy1的身份識別用戶導入策略指定的服務器上導入在線身份識別用戶。
<Sysname> system-view
[Sysname] user-identity online-user import policy policy1
Loading...Done.
【相關命令】
· user-identity user-account auto-import policy
· user-identity user-import-policy
user-identity online-user-name-match命令用來配置在線用戶身份識別的用戶名匹配模式。
undo user-identity online-user-name-match命令用來恢複缺省情況。
【命令】
user-identity online-user-name-match { keep-original | with-domain | without-domain }
undo user-identity online-user-name-match
【缺省情況】
在線用戶身份識別的用戶名匹配模式為keep-original。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
keep-original:使用用戶輸入的用戶名進行身份識別用戶賬戶匹配。例如,用戶的認證域為abc,用戶輸入的用戶名為test@123,則使用用戶名test@123進行身份識別用戶賬戶匹配。
with-domain:使用用戶的認證域進行身份識別用戶賬戶匹配,即將采用“用戶的純用戶名@認證域名”格式進行用戶賬戶匹配。例如,用戶的認證域為abc,用戶輸入的用戶名為test@123,則使用用戶名test@abc進行身份識別用戶賬戶匹配。
without-domain:不對用戶賬戶的域名進行匹配,即使用用戶輸入的純用戶名與設備上未加入任何身份識別域的身份識別用戶賬戶進行匹配。例如,用戶的認證域為abc,用戶輸入的用戶名為test@123,則使用用戶名test與未加入身份識別域的用戶賬戶進行匹配。
【使用指導】
設備創建一條在線身份識別用戶表項之前,首先檢查該用戶是否能夠匹配上本地的身份識別用戶賬戶,如果能夠匹配上,才會生成對應的在線身份識別用戶表項。本命令用來配置設備采用哪種用戶名格式去匹配身份識別用戶賬戶。
本命令僅對本設備接入的動態在線身份識別用戶生效。
【舉例】
# 配置在線用戶身份識別的用戶名匹配模式with-domain。
<Sysname> system-view
[Sysname] user-identity online-user-name-match with-domain
user-identity restful-server命令用來創建RESTful服務器,並進入RESTful服務器視圖。如果指定的RESTful服務器已經存在,則直接進入RESTful服務器視圖。
undo user-identity restful-server命令用來刪除指定的RESTful服務器。
【命令】
user-identity restful-server server-name
undo user-identity restful-server server-name
【缺省情況】
不存在RESTful服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
server-name:RESTful服務器的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
RESTful服務器視圖用於配置RESTful服務器的相關參數,包括服務器URI和登錄用戶。
係統中僅能存在一個RESTful服務器。
【舉例】
# 創建名稱為rest1的RESTful服務器,並進入該服務器視圖。
<Sysname> system-view
[Sysname] user-identity restful-server rest1
[Sysname-restfulserver-rest1]
【相關命令】
· display user-identity restful-server
· login-name
· uri
· user-identity user-import-policy
user-identity security-manage-server命令用來創建Security Manage服務器集,並進入Security Manage服務器集視圖。如果指定的Security Manage服務器集已經存在,則直接進入Security Manage服務器集視圖。
undo user-identity security-manage-server命令用來刪除指定的Security Manage服務器集。
【命令】
user-identity security-manage-server server-set-name
undo user-identity security-manage-server server-set-name
【缺省情況】
不存在Security Manage服務器集。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
server-set-name:Security Manage服務器集的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
Security Manage服務器集視圖用於配置Security Manage服務器的相關參數,包括IP地址、端口號、共享密鑰。
係統中僅能存在一個Security Manage服務器集。
【舉例】
# 創建名稱為sec1的Security Manage服務器集,並進入該服務器集視圖。
<Sysname> system-view
[Sysname] user-identity security-manage-server sec
[Sysname-identity-sec-manage-server-sec1]
【相關命令】
· display user-identity security-manage-server
· encryption
· ip
· listen-port
user-identity static-user命令用來配置靜態類型的身份識別用戶。
undo user-identity static-user命令用來刪除指定的靜態類型的身份識別用戶。
【命令】
user-identity static-user user-name [ domain domain-name ] bind { ipv4 ipv4-address | ipv6 ipv6-address } [ mac mac-address ]
undo user-identity static-user user-name [ domain domain-name ] [ bind { ipv4 ipv4-address | ipv6 ipv6-address } [ mac mac-address ] ]
【缺省情況】
不存在靜態類型的身份識別用戶。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
user-name:靜態類型的身份識別用戶名,為1~55個字符的字符串,區分大小寫。
domain domain-name:指定用戶所屬的身份識別域。domain-name表示身份識別域的名稱,為1~255個字符的字符串,不區分大小寫。若不指定該參數,則表示用戶不屬於任何身份識別域。
bind:指定與該用戶名綁定的IP地址屬性。
ipv4 ipv4-address:指定用戶的IPv4地址。ipv4-address不能為全0地址、全1地址以及組播IP地址。
ipv6 ipv6-address:指定用戶的IPv6地址。ipv6-address不能為全0地址、組播地址、環回地址以及鏈路本地地址。
mac mac-address:指定用戶的MAC地址,格式為H-H-H。若不指定該參數,則表示不限製該IP地址用戶的MAC地址。
【使用指導】
當管理員允許某些用戶不需要通過認證,也能夠在相關安全特性的管理下訪問網絡時,就可以通過本命令將這類用戶手工添加為身份識別用戶。
若undo命令中不指定bind參數,則表示刪除使用指定用戶名的所有靜態類型的身份識別用戶。
可以通過多次執行本命令添加多個靜態類型的身份識別用戶。
一個用戶名可以綁定多個IP地址、多個MAC地址或者多個IP地址和MAC地址的組合,但同一個IP地址、MAC地址或者IP地址和MAC地址的組合不能被多個用戶名綁定。
配置的靜態類型的身份識別用戶,隻有在用戶身份識別功能處於開啟狀態,且能夠匹配上本地身份識別用戶賬戶的情況下,才能生成對應的靜態在線身份識別用戶。
【舉例】
# 配置一個靜態類型的身份識別用戶:用戶名為test,身份識別域為dom1,綁定的IP地址為109.15.0.15。
<Sysname> system-view
[Sysname] user-identity static-user test domain dom1 bind ipv4 109.15.0.15
# 配置一個靜態類型的身份識別用戶:用戶名為abc,身份識別域為dom1,綁定的MAC地址為1-1-1。
<Sysname> system-view
[Sysname] user-identity static-user test domain dom1 bind mac 1-1-1
【相關配置】
· display user-identity online-user
· user-identity enable
user-identity user-account auto-import policy命令用來開啟身份識別用戶賬戶自動導入功能。
undo user-identity user-account auto-import policy命令用來關閉身份識別用戶賬戶自動導入功能。
【命令】
user-identity user-account auto-import policy policy-name
undo user-identity user-account auto-import policy policy-name
【缺省情況】
身份識別用戶自動賬戶導入功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:身份識別用戶導入策略名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
開啟指定策略的身份識別用戶賬戶自動導入功能後,身份識別模塊首先會從該策略指定的服務器上導入所有身份識別用戶賬戶信息和所有在線身份識別用戶信息,然後定期從該服務器上自動導入身份識別用戶賬戶信息(導入周期由account-update-interval命令配置)。
需要注意的是,成功導入在線身份識別用戶信息的前提是,用戶身份識別功能處於開啟狀態(通過user-identity enable命令配置)。
【舉例】
# 開啟策略policy1的身份識別用戶賬戶自動導入功能。
<Sysname> system-view
[Sysname] user-identity user-account auto-import policy policy1
【相關命令】
· account-update-interval
· user-identity user-import-policy
user-identity user-account export url命令用來將身份識別用戶賬戶導出到CSV文件。
【命令】
user-identity user-account export url url-string [ { domain domain-name | null-domain } [ user user-name ] | template ] [ vpn-instance vpn-instance-name ]
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url-string:URL,為1~255字符的字符串,不區分大小寫。
domain domain-name:身份識別域的名稱,為1~255個字符的字符串,不區分大小寫。
null-domain:表示導出未加入身份識別域的所有身份識別用戶賬戶信息。
user user-name:身份識別用戶賬戶名,為1~55個字符的字符串,區分大小寫。若不指定該參數,則表示指定條件下的所有身份識別用戶賬戶。
template:表示導出一個標準的CSV文件模板。用戶可根據此模板編輯符合設備要求的CSV文件用於導入身份識別用戶。
vpn-instance vpn-instance-name:表示CSV文件保存路徑所屬MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定該參數,則表示CSV文件保存路徑位於公網。
【使用指導】
身份識別用戶賬戶信息導出時必須以CSV格式保存,即保存的文件擴展名為csv。
若不指定任何參數,則表示將設備上的所有身份識別用戶賬戶信息導出到一個CSV文件。
本命令支持TFTP和FTP兩種文件上傳方式,具體的URL格式要求如下:
· TFTP協議URL格式:tftp://server/path/filename,server為TFTP服務器IP地址或主機名,例如tftp://1.1.1.1/user/user.csv。
· FTP協議URL格式:
¡ 攜帶用戶名和密碼的格式為ftp://username:password@server/path/filename。其中,username為FTP用戶名,password為FTP認證密碼,server為FTP服務器IP地址或主機名,例如ftp://1:[email protected]/user/user.csv。如果FTP用戶名中攜帶域名,則該域名會被設備忽略,例如ftp://1@abc:[email protected]/user/user.csv將被當作ftp://1:[email protected]/user/user.csv處理。
¡ 不需要攜帶用戶名和密碼的格式為ftp://server/path/filename,例如ftp://1.1.1.1/user/user.csv。
¡ FTP協議URL字符串中的用戶名或密碼攜帶表1-9中的特殊字符時,需要按照對應的輸入格式輸入才能正常執行操作。
|
特殊字符 |
輸入格式 |
|
\ |
\\ |
|
" |
\" |
|
/ |
%2F |
|
: |
%3A |
|
@ |
%40 |
成功執行該命令後,將會在目標服務器上生成一個指定名稱的CSV文件。若相同配置條件下重複導出,新的文件將會覆蓋已有文件。
【舉例】
# 將身份識別域dom1中的所有身份識別用戶賬戶信息導出到CSV文件中,文件保存路徑為tftp://1.1.1.1/user.csv。
<Sysname> system-view
[Sysname] user-identity user-account export url tftp://1.1.1.1/user.csv domain dom1
【相關命令】
· user-identity user-account import url
user-identity user-account import policy命令用來導入服務器上的身份識別用戶賬戶。
【命令】
user-identity user-account import policy policy-name
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:身份識別用戶導入策略名,為1~31個字符的字符串,不區分大小寫。
【使用指導】
執行該命令後,係統將立即向身份識別用戶導入策略中指定的服務器發起請求,並導入服務器上的所有身份識別用戶賬戶信息。
【舉例】
# 從名稱為policy1的身份識別用戶導入策略指定的服務器上導入身份識別用戶賬戶。
<Sysname> system-view
[Sysname] user-identity user-account import policy policy1
【相關命令】
· user-identity user-import-policy
user-identity user-account import url命令用來從CSV文件中導入身份識別用戶賬戶。
【命令】
user-identity user-account import url url-string [ vpn-instance vpn-instance-name ] [ auto-create-group | override | start-line line-number ] *
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url-string:要導入的CSV文件的URL,為1~255個字符的字符串,不區分大小寫。
vpn-instance vpn-instance-name:表示待導入CSV文件所屬MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定該參數,則表示CSV文件保存路徑位於公網。
auto-create-group:表示當設備上不存在身份識別用戶賬戶所屬的身份識別用戶組時,係統會自動創建該身份識別用戶組。若不指定該參數,則表示當設備上不存在該身份識別用戶組時,係統不會創建該身份識別用戶組。
override:表示當導入的身份識別用戶賬戶已經存在於設備上時,係統使用導入的身份識別用戶賬戶覆蓋掉已有的同名身份識別用戶賬戶。若不指定該參數,則表示不導入文件中的同名身份識別用戶賬戶信息,即保留設備上原有的同名身份識別用戶賬戶信息。
start-line line-number:表示從CSV文件的指定行開始導入身份識別用戶賬戶。line-number為文件內容的行編號,取值範圍為1~1048576。若不指定該參數,則表示從文件中第一行開始導入。
【使用指導】
導入文件必須是CSV格式,即文件擴展名為csv。
可以通過user-identity user-account export url命令導出符合導入要求的CSV文件模板。
【舉例】
# 從ftp://1.1.1.1/newpath路徑的user.csv文件中導入身份識別用戶賬戶信息,且從該文件的第二行開始導入。
<Sysname> system-view
[Sysname] user-identity user-account import url ftp://1.1.1.1/newpath/user.csv start-line 2
【相關命令】
· user-identity user-account export url
user-identity user-import-policy命令用來創建身份識別用戶導入策略,並進入身份識別用戶導入策略視圖。如果指定的身份識別用戶導入策略已經存在,則直接進入身份識別用戶導入策略視圖。
undo user-identity user-import-policy命令用來刪除指定的身份識別用戶導入策略。
【命令】
user-identity user-import-policy policy-name
undo user-identity user-import-policy policy-name
【缺省情況】
不存在身份識別用戶導入策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
policy-name:策略名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
身份識別用戶導入策略用於配置用戶身份識別模塊從服務器上導入身份識別用戶信息的策略,可導入的用戶信息包括身份識別用戶賬戶信息和在線身份識別用戶信息。目前,係統支持的服務器為H3C iMC服務器和LDAP服務器。
係統中僅能存在一個身份識別用戶導入策略。如需配置其它身份識別用戶導入策略,請先通過undo user-identity user-import-policy命令刪除已有的身份識別用戶導入策略。
【舉例】
# 創建名稱為policy1的身份識別用戶導入策略,並進入該策略視圖。
<Sysname> system-view
[Sysname] user-identity user-import-policy policy1
[Sysname-identity-user-impt-policy-policy1]
【相關命令】
· display user-identity user-import-policy
vpn-instance命令用來配置RESTful服務器所屬的VPN。
undo vpn-instance命令用來恢複缺省情況。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情況】
未配置RESTful服務器的VPN,表示RESTful服務器位於公網。
【視圖】
RESTful服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
vpn-instance-name:MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
本命令指定的VPN為設備與RESTful服務器通信的接口所屬的VPN。
【舉例】
# 配置RESTful服務器的所屬的VPN為v1。
<Sysname> system-view
[Sysname] user-identity restful-server r1
[Sysname-restfulserver-r1] vpn-instance v1
【相關命令】
· display user-identity restful-server
· user-identity restful-server
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
