domain视图下没有 authorization-attribute idle-cut这个命令

您好，参考

1.2.2  authorization-attribute (Local user view/user group view)

authorization-attribute命令用来设置本地用户或用户组的授权属性，该属性在本地用户认证通过之后，由设备下发给用户。

undo authorization-attribute命令用来删除指定的授权属性，恢复用户具有的缺省访问权限。

【命令】

authorization-attribute { acl acl-number | idle-cut minutes | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | session-timeout minutes | user-profile profile-name | user-role role-name | vlan vlan-id | work-directory directory-name } *

undo authorization-attribute { acl | idle-cut | ip-pool | ipv6-pool | session-timeout | user-profile | user-role role-name | vlan | work-directory } *

【缺省情况】

授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录，但无访问权限。

在缺省MDC中由用户角色为network-admin、level-15或者system-admin的用户创建的设备管理类本地用户被授权用户角色network-operator；在非缺省MDC中由用户角色为mdc-admin、level-15或者system-admin的用户创建的设备管理类本地用户被授权用户角色mdc-operator。

【视图】

本地用户视图

用户组视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

acl acl-number：指定本地用户的授权ACL。其中，acl-number为授权ACL的编号，取值范围2000～5999。与授权ACL规则匹配的流量，将按照规则中指定的permit或deny动作进行处理。

idle-cut minutes：设置本地用户的闲置切断时间。其中，minutes为设定的闲置切断时间，取值范围为1～120，单位为分钟。如果用户在线后连续闲置的时长超过该值，设备会强制该用户下线。

ip-pool ipv4-pool-name：指定本地用户的IPv4地址池信息。本地用户认证成功后，将允许使用该IPv4地址池分配地址。其中，ipv4-pool-name表示地址池名称，为1～63个字符的字符串，区分大小写。

ipv6-pool ipv6-pool-name：指定本地用户的IPv6地址池信息。本地用户认证成功后，将允许使用该IPv6地址池分配地址。其中，ipv6-pool-name表示地址池名称，为1～63个字符的字符串，不区分大小写。

session-timeout minutes：设置本地用户的会话超时时间。其中，minutes为设定的会话超时时间，取值范围为1～1440，单位为分钟。如果用户在线时长超过该值，设备会强制该用户下线。

url url-string：指定本地用户的重定向URL。其中，url-string为1～255个字符的字符串，区分大小写，且必须携带http://或https://前缀才可生效。重定向URL主要用于Web页面推送，例如，用户认证成功后首次访问网络时用于推送广告、通知类页面，或者用户欠费时将用于推送欠费提醒页面。此属性只对IPoE和lan-access用户生效，且对于IPoE用户仅使用80或443端口号的URL生效。

user-profile profile-name：指定本地用户的授权User Profile。其中，profile-name表示User Profile名称，为1～31个字符的字符串，只能包含英文字母、数字、下划线，区分大小写。当用户认证成功后，其访问行为将受到User Profile中的预设配置的限制。关于User Profile的详细介绍请参见“安全配置指导”中的“User Profile”。

user-role role-name：指定本地用户的授权用户角色。其中，role-name表示用户角色名称，为1～63个字符的字符串，区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础配置命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置，不能在本地用户组视图下配置，且仅对设备管理类本地用户生效。

vlan vlan-id：指定本地用户的授权VLAN。其中，vlan-id为VLAN编号，取值范围为1～4094。本地用户认证成功后，将被授权仅可以访问指定VLAN内的网络资源。

work-directory directory-name：授权FTP/SFTP/SCP用户可以访问的目录。其中，directory-name表示FTP/SFTP/SCP用户可以访问的目录，为1～255个字符的字符串，不区分大小写，且该目录必须已经存在。

【使用指导】

可配置的授权属性都有其明确的使用环境和用途，请针对用户的服务类型配置对应的授权属性：

·     对于Portal用户，仅授权属性ip-pool、ipv6-pool、session-timeout、user-profile、acl有效。

·     对于Lan-access用户，仅授权属性acl、session-timeout、url、user-profile、vlan有效。

·     对于Telnet、Terminal、SSH用户，仅授权属性idle-cut、user-role有效。

·     对于http、https用户，仅授权属性user-role有效。

·     对于FTP用户，仅授权属性user-role、work-directory有效。

·     对于其它类型的本地用户，所有授权属性均无效。

用户组的授权属性对于组内的所有本地用户生效，因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。

本地用户视图下未配置的授权属性继承所属用户组的授权属性配置，但是如果本地用户视图与所属的用户组视图下都配置了某授权属性，则本地用户视图下的授权属性生效。

指定授权ACL时，需要注意的是：

·     若引用的ACL不存在，或者引用的ACL中没有配置规则，则表示未授权ACL规则。如果同时开启了Portal授权ACL的严格检查模式，则此情况下Portal用户会被强制下线。

·     对于授权给lan-access用户的ACL，若某条rule规则中指定了vpn-instance，则该ACL不生效。不指定vpn-instance参数，表示该条规则对公网和私网报文都有效。

·     对于授权给Portal用户的ACL，若某条rule规则中指定了vpn-instance，则该ACL不生效。不指定vpn-instance参数，表示该条规则对公网和私网报文都有效。

·     授权给Portal用户的ACL中不能配置携带用户源IP地址和源MAC地址信息的规则，否则会导致用户上线失败。

为了避免设备进行主备倒换后FTP/SFTP/SCP用户无法正常登录，建议用户在指定工作目录时不要携带slot信息。

为确保本地用户仅使用本命令指定的授权用户角色，请先使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。

被授权安全日志管理员的本地用户登录设备后，仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令，具体命令可通过display role name security-audit命令查看。安全日志文件管理相关命令的介绍，请参见“网络管理与监控”中的“信息中心”。文件系统管理相关命令的介绍，请参见“基础配置命令参考”中的“文件系统管理”。

为本地用户授权安全日志管理员角色时，需要注意的是：

·     安全日志管理员角色和其它用户角色互斥：

¡     为一个用户授权安全日志管理员角色时，系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色；

¡     如果已经授权当前用户安全日志管理员角色，再授权其它的用户角色时，系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色。

·     系统中的最后一个安全日志管理员角色的本地用户不可被删除。

为本地用户授权system-admin、security-admin、audit-admin角色时，需要注意的是：

·     这些角色和其它用户角色互斥，且彼此之间也互斥。

·     为一个用户授权这类用户角色时，系统会通过提示信息请求确认是否删除与当前用户角色互斥的其它用户角色。

【举例】

# 配置网络接入类本地用户abc的授权VLAN为VLAN 2。

<Sysname> system-view

[Sysname] local-user abc class network

[Sysname-luser-network-abc] authorization-attribute vlan 2

# 配置用户组abc的授权VLAN为VLAN 3。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc] authorization-attribute vlan 3

# 配置设备管理类本地用户xyz的授权用户角色为security-audit（安全日志管理员）。

<Sysname> system-view

[Sysname] local-user xyz class manage

[Sysname-luser-manage-xyz] authorization-attribute user-role security-audit

This operation will delete all other roles of the user. Are you sure? [Y/N]:y

【相关命令】

·     display local-user

·     display user-group