问题描述:
版本:[DX-F1050]dis version
H3C Comware Software, Version 7.1.064, Release 9313P12
Copyright (c) 2004-2017 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
H3C SecPath F1050 uptime is 0 weeks, 5 days, 1 hour, 9 minutes
Last reboot reason: User reboot
Boot image: flash:/f1000fw-cmw710-boot-R9313P12.bin
Boot image version: 7.1.064, Release 9313P12
Compiled Jan 05 2017 16:00:00
System image: flash:/f1000fw-cmw710-system-R9313P12.bin
System image version: 7.1.064, Release 9313P12
Compiled Jan 05 2017 16:00:00
SLOT 1
CPU type: Multi-core CPU
DDR3 SDRAM Memory 4094M bytes
Board PCB Version:Ver.A
CPLD_A Version: 2.0
CPLD_B Version: 2.0
Basic BootWare Version: 1.05
Extend BootWare Version: 1.05
Board PFC Version:Ver.A
NandFlash PCB Version:Ver.A
[SubSlot 0]16GE+8SFP (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0
我的设备使用radius认证,登录上来全部是普通用户,我想让用户登录上来,赋予不同的权限
https://zhiliao.h3c.com/questions/dispcont/318672
给出的方案中,没有user-role accept 命令
1. 具体故障现象:是认证成功但权限未生效、还是完全认证失败?是管理员SSH/Telnet登录认证、还是普通接入用户的网络权限认证?
2. 所用RADIUS服务器类型(H3C IMC/第三方厂商服务器)、期望下发的具体权限类型(管理员命令级别/访问控制策略/带宽配额等)
常规排查步骤&关键命令:
1. 先校验设备侧AAA/RADIUS基础配置合规性:确保对应域下同时绑定了认证、授权、计费的RADIUS方案,管理员认证场景需将授权类型配置为login而非lan-access,RADIUS方案下配置user-name-format without-domain避免账号带域后缀校验失败。
2. 开启报文调试查看交互过程:
触发认证操作,确认设备是否收到RADIUS服务器返回的授权属性报文。
3. 第三方服务器场景需开启私有属性适配:在RADIUS方案视图下配置attribute 302-attribute enable,兼容H3C私有授权属性字段。
4. 校验授权结果:执行display aaa user all查看在线用户的已下发授权属性,确认是否被设备正常识别。
该版本固件中不存在 user-role accept 命令,如果RADIUS服务器无法修改配置来下发权限,推荐在设备上配置缺省用户角色授权功能来解决。
原因分析
1. 鉴权模式限制
您参考的方案(知了社区案例 318672)大概率是基于HWTACACS协议,设备用user-role accept命令来接收服务器下发的角色。而您的 F1050 配置的是RADIUS协议,H3C V7 平台在有限授权模式下,默认不会直接使用 RADIUS 服务器返回的角色属性。2. 固件版本限制
您的设备版本为Release 9313P12(2017年编译),可能缺少某些在新版本中才支持的RADIUS授权命令特性。解决方案
由于 RADIUS 服务器暂无法改造,以下方案遵循“不改变远程服务器”原则,从设备侧入手,按推荐顺序排列:
方案一:设备侧启用缺省用户角色授权 (推荐)
此方案最简单有效,所有通过 RADIUS 认证的用户都会被自动授予一个指定的“保底”角色,解决“登录后无权限”的问题。
注意:此命令对所有通过AAA认证但远程服务器未返回角色的用户生效,请根据实际需要选择
network-admin(管理员)或network-operator(只读观察员)等角色。
方案二:RADIUS服务器下发标准或私有属性 (标准做法)
如果后续服务器可改造,这是最灵活的方法。需要在 RADIUS 服务器上为不同用户配置不同的返回属性:
标准属性 (Level级权限):对于仅需简单权限区分的场景,可下发
Login-Service属性值为Telnet。H3C 私有属性 (Role角色权限):若需更精细的权限控制,可在服务器上配置 H3C 私有属性
H3C-User-Roles。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论