domain視圖下沒有 authorization-attribute idle-cut這個命令

您好，參考

1.2.2  authorization-attribute (Local user view/user group view)

authorization-attribute命令用來設置本地用戶或用戶組的授權屬性，該屬性在本地用戶認證通過之後，由設備下發給用戶。

undo authorization-attribute命令用來刪除指定的授權屬性，恢複用戶具有的缺省訪問權限。

【命令】

authorization-attribute { acl acl-number | idle-cut minutes | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | session-timeout minutes | user-profile profile-name | user-role role-name | vlan vlan-id | work-directory directory-name } *

undo authorization-attribute { acl | idle-cut | ip-pool | ipv6-pool | session-timeout | user-profile | user-role role-name | vlan | work-directory } *

【缺省情況】

授權FTP/SFTP/SCP用戶可以訪問的目錄為設備的根目錄，但無訪問權限。

在缺省MDC中由用戶角色為network-admin、level-15或者system-admin的用戶創建的設備管理類本地用戶被授權用戶角色network-operator；在非缺省MDC中由用戶角色為mdc-admin、level-15或者system-admin的用戶創建的設備管理類本地用戶被授權用戶角色mdc-operator。

【視圖】

本地用戶視圖

用戶組視圖

【缺省用戶角色】

network-admin

mdc-admin

【參數】

acl acl-number：指定本地用戶的授權ACL。其中，acl-number為授權ACL的編號，取值範圍2000～5999。與授權ACL規則匹配的流量，將按照規則中指定的permit或deny動作進行處理。

idle-cut minutes：設置本地用戶的閑置切斷時間。其中，minutes為設定的閑置切斷時間，取值範圍為1～120，單位為分鍾。如果用戶在線後連續閑置的時長超過該值，設備會強製該用戶下線。

ip-pool ipv4-pool-name：指定本地用戶的IPv4地址池信息。本地用戶認證成功後，將允許使用該IPv4地址池分配地址。其中，ipv4-pool-name表示地址池名稱，為1～63個字符的字符串，區分大小寫。

ipv6-pool ipv6-pool-name：指定本地用戶的IPv6地址池信息。本地用戶認證成功後，將允許使用該IPv6地址池分配地址。其中，ipv6-pool-name表示地址池名稱，為1～63個字符的字符串，不區分大小寫。

session-timeout minutes：設置本地用戶的會話超時時間。其中，minutes為設定的會話超時時間，取值範圍為1～1440，單位為分鍾。如果用戶在線時長超過該值，設備會強製該用戶下線。

url url-string：指定本地用戶的重定向URL。其中，url-string為1～255個字符的字符串，區分大小寫，且必須攜帶http://或https://前綴才可生效。重定向URL主要用於Web頁麵推送，例如，用戶認證成功後首次訪問網絡時用於推送廣告、通知類頁麵，或者用戶欠費時將用於推送欠費提醒頁麵。此屬性隻對IPoE和lan-access用戶生效，且對於IPoE用戶僅使用80或443端口號的URL生效。

user-profile profile-name：指定本地用戶的授權User Profile。其中，profile-name表示User Profile名稱，為1～31個字符的字符串，隻能包含英文字母、數字、下劃線，區分大小寫。當用戶認證成功後，其訪問行為將受到User Profile中的預設配置的限製。關於User Profile的詳細介紹請參見“安全配置指導”中的“User Profile”。

user-role role-name：指定本地用戶的授權用戶角色。其中，role-name表示用戶角色名稱，為1～63個字符的字符串，區分大小寫。可以為每個用戶最多指定64個用戶角色。本地用戶角色的相關命令請參見“基礎配置命令參考”中的“RBAC”。該授權屬性隻能在本地用戶視圖下配置，不能在本地用戶組視圖下配置，且僅對設備管理類本地用戶生效。

vlan vlan-id：指定本地用戶的授權VLAN。其中，vlan-id為VLAN編號，取值範圍為1～4094。本地用戶認證成功後，將被授權僅可以訪問指定VLAN內的網絡資源。

work-directory directory-name：授權FTP/SFTP/SCP用戶可以訪問的目錄。其中，directory-name表示FTP/SFTP/SCP用戶可以訪問的目錄，為1～255個字符的字符串，不區分大小寫，且該目錄必須已經存在。

【使用指導】

可配置的授權屬性都有其明確的使用環境和用途，請針對用戶的服務類型配置對應的授權屬性：

·     對於Portal用戶，僅授權屬性ip-pool、ipv6-pool、session-timeout、user-profile、acl有效。

·     對於Lan-access用戶，僅授權屬性acl、session-timeout、url、user-profile、vlan有效。

·     對於Telnet、Terminal、SSH用戶，僅授權屬性idle-cut、user-role有效。

·     對於http、https用戶，僅授權屬性user-role有效。

·     對於FTP用戶，僅授權屬性user-role、work-directory有效。

·     對於其它類型的本地用戶，所有授權屬性均無效。

用戶組的授權屬性對於組內的所有本地用戶生效，因此具有相同屬性的用戶可通過加入相同的用戶組來統一配置和管理。

本地用戶視圖下未配置的授權屬性繼承所屬用戶組的授權屬性配置，但是如果本地用戶視圖與所屬的用戶組視圖下都配置了某授權屬性，則本地用戶視圖下的授權屬性生效。

指定授權ACL時，需要注意的是：

·     若引用的ACL不存在，或者引用的ACL中沒有配置規則，則表示未授權ACL規則。如果同時開啟了Portal授權ACL的嚴格檢查模式，則此情況下Portal用戶會被強製下線。

·     對於授權給lan-access用戶的ACL，若某條rule規則中指定了vpn-instance，則該ACL不生效。不指定vpn-instance參數，表示該條規則對公網和私網報文都有效。

·     對於授權給Portal用戶的ACL，若某條rule規則中指定了vpn-instance，則該ACL不生效。不指定vpn-instance參數，表示該條規則對公網和私網報文都有效。

·     授權給Portal用戶的ACL中不能配置攜帶用戶源IP地址和源MAC地址信息的規則，否則會導致用戶上線失敗。

為了避免設備進行主備倒換後FTP/SFTP/SCP用戶無法正常登錄，建議用戶在指定工作目錄時不要攜帶slot信息。

為確保本地用戶僅使用本命令指定的授權用戶角色，請先使用undo authorization-attribute user-role命令刪除該用戶已有的缺省用戶角色。

被授權安全日誌管理員的本地用戶登錄設備後，僅可執行安全日誌文件管理相關的命令以及安全日誌文件操作相關的命令，具體命令可通過display role name security-audit命令查看。安全日誌文件管理相關命令的介紹，請參見“網絡管理與監控”中的“信息中心”。文件係統管理相關命令的介紹，請參見“基礎配置命令參考”中的“文件係統管理”。

為本地用戶授權安全日誌管理員角色時，需要注意的是：

·     安全日誌管理員角色和其它用戶角色互斥：

¡     為一個用戶授權安全日誌管理員角色時，係統會通過提示信息請求確認是否刪除當前用戶的所有其它他用戶角色；

¡     如果已經授權當前用戶安全日誌管理員角色，再授權其它的用戶角色時，係統會通過提示信息請求確認是否刪除當前用戶的安全日誌管理員角色。

·     係統中的最後一個安全日誌管理員角色的本地用戶不可被刪除。

為本地用戶授權system-admin、security-admin、audit-admin角色時，需要注意的是：

·     這些角色和其它用戶角色互斥，且彼此之間也互斥。

·     為一個用戶授權這類用戶角色時，係統會通過提示信息請求確認是否刪除與當前用戶角色互斥的其它用戶角色。

【舉例】

# 配置網絡接入類本地用戶abc的授權VLAN為VLAN 2。

<Sysname> system-view

[Sysname] local-user abc class network

[Sysname-luser-network-abc] authorization-attribute vlan 2

# 配置用戶組abc的授權VLAN為VLAN 3。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc] authorization-attribute vlan 3

# 配置設備管理類本地用戶xyz的授權用戶角色為security-audit（安全日誌管理員）。

<Sysname> system-view

[Sysname] local-user xyz class manage

[Sysname-luser-manage-xyz] authorization-attribute user-role security-audit

This operation will delete all other roles of the user. Are you sure? [Y/N]:y

【相關命令】

·     display local-user

·     display user-group