公司动态
当前位置:首页 > 公司动态 > 用户管理WBM 或 CLI
用户管理(WBM 或 CLI)

用户管理概述

通过可组态的用户设置来管理对设备的访问。使用密码设置用户以供验证。为用户分配具有适当权限的角色。

用户的身份验证可在本地由设备执行,也可由外部 RADIUS 服务器执行。可在“安全 > AAA > 常规”(Security > AAA > General) 页面中组态身份验证的处理方式。


提示

向 STEP 7 (TIA Portal) 传送设备组态时,不会传送组态的用户、角色和群组。



与先前版本的兼容性

对于固件版本 5.1,用户管理通过 RADIUS 身份验证模式“供应商特定”扩展。为确保对 5.0 及以下固件版本的兼容性,选择的默认设置应保证,在固件升级后,之前的身份验证模式“传统”(conventional) 将继续使用。

本地登录

用户本地登录时设备的工作方式如下:

    用户通过用户名和密码在设备上登录。

    设备检查是否存在该用户的条目。

    → 如果存在条目,该用户成功登录并具有所关联角色的权限。

    → 如果不存在相应的条目,则拒绝该用户登录。

通过外部 RADIUS 服务器登录

RADIUS(Remote Authentication Dial-In User Service,拨入用户远程认证服务)是通过集中存储用户数据的服务器来验证用户和为用户授权的协议。

根据您在“安全 > AAA > RADIUS 客户端”(Security > AAA > RADIUS Client) 页面中所选择的 RADIUS 身份验证模式,设备可评估 RADIUS 服务器的不同信息。

RADIUS 身份验证模式“Standard”

如果已设置身份验证模式“conventional”,则用户在 RADIUS 服务器上的身份验证将按如下方式运行:

    用户通过用户名和密码在设备上登录。

    设备将带有登录数据的身份验证请求发送到 RADIUS 服务器。

    RADIUS 服务器执行检查并将结果发送回设备。

    RADIUS 服务器报告身份验证成功,并向设备的属性“Service Type”返回值“Administrative User”。

    → 用户登录并具有读/写权限。

    RADIUS 服务器会报告身份验证成功,并会向设备的属性“Service Type”返回差异或甚至是无值。

    → 用户登录并具有读取权限。

    RADIUS 服务器向设备报告身份验证失败:

    → 用户被拒绝访问。

RADIUS 身份验证模式“供应商特定”

要求

对于 RADIUS 验证模式“供应商特定”(Vendor Specific),需要在 RADIUS 服务器上设置以下需求:

制造商代码:4196

属性编号:1

属性格式:字符型字符串(组名称)

步骤

如果已设置身份验证模式“供应商特定”(Vendor Specific),则用户在 RADIUS 服务器上的身份验证将按如下方式运行:

    用户通过用户名和密码在设备上登录。

    设备将带有登录数据的身份验证请求发送到 RADIUS 服务器。

    RADIUS 服务器执行检查并将结果发送回设备。

    情况 A:RADIUS 服务器报告身份验证成功,并向设备返回已为用户分配的组。

    组已在设备中已知,但用户并未在表“External User Accounts”中输入。

    → 用户将登录并具有所分配组的权限。

    组已在设备中已知,且用户并已在表“External User Accounts”中输入。

    → 已为用户分配了更高的权限,用户会登录并拥有这些权限。

    组已在设备中未知,且用户并已在表“External User Accounts”中输入。

    → 用户将登录并具有已链接到用户帐户的角色所对应的权限。

    组已在设备中未知,但用户并未已在表“External User Accounts”中输入。

    → 用户将登录并具有“Default”角色的权限。

    情况 B:RADIUS 服务器会报告身份验证成功,但不会向设备返回一个组。

    用户已在“External User Accounts”表中输入:

    → 用户将登录并具有所链接角色的权限。

    用户未在“External User Accounts”表中输入:

    → 用户将登录并具有“Default”角色的权限。

    情况 C:RADIUS 服务器向设备报告身份验证失败:

    用户被拒绝访问。

通过 RADIUS 或访客 VLAN 分配 VLAN

更改 VLAN 组态情况下的身份验证

如果在验证期间使用“允许 RADIUS VLAN 分配”或“访客 VLAN”功能将一个端口动态地分配给 VLAN,则有如下选项:

如果设备上尚未创建待分配的 VLAN,则会拒绝身份验证。

如果设备上已创建待分配的 VLAN:

该端口将成为已分配 VLAN 中的无标记成员(如果尚未成为)。

→ 这样,便可以覆盖此 VLAN 中端口的静态组态,并在取消身份验证时不进行恢复。

端口的端口 VID 会变为所分配 VLAN 的 ID。


提示

如果端口只分配给一个 VLAN,则需要相应地手动调整 VLAN 组态。默认情况下,所有端口在“VLAN 1”中为无标记成员。



如果取消身份验证(即通过链路中断),则会取消动态更改。

端口不再是已分配 VLAN 中的成员。

端口的端口 VID 被重设为验证之前的值。


提示

如果端口 VID 与验证之前分配的端口 VID 一致,则该端口保持为此 VLAN 中的无标记成员。



未更改 VLAN 组态情况下的身份验证

在身份验证期间,如果未通过“支持的 RADIUS VLAN 分配”(RADIUS VLAN Assignment Allowed) 或“访客 VLAN”(Guest VLAN) 功能分配任何 VLAN,则端口的 VLAN 组态保持不变。



shtxjd.cn.b2b168.com/m/