AAA对用户的管理是通过域来实现的,域是用户管理的最小单位,通常可以是某个ISP的名字或ISP的某种业务名字。配置域的AAA方案实现对域用户认证、授权和计费方案配置。配置域的服务器包括指定RADIUS服务器、hwtacacs服务器等各种服务器,可根据业务需求灵活进行配置。
在ME60上进行以下配置。
执行命令system-view,进入系统视图。
执行命令aaa,进入AAA视图。
执行命令domain domain-name,创建域,并进入域视图。
ME60中一共可创建1024个域。系统中存在default0、default1、default_admin三个缺省域。
default0域是认证前用户的归属域。用户刚接入ME60且尚未进行认证时,ME60不能获知用户归属域,因此默认用户属于default0域。此域下的用户缺省使用default0认证方案、default0计费方案。
default1域是认证时用户的缺省归属域。如果在用户认证时输入的用户名中未包含域名,则ME60默认该用户属于default1域。该域下的用户缺省使用default1认证方案、default1计费方案。
default_admin域是管理用户的缺省归属域。当操作用户通过Telnet或者SSH等方式登录ME60时,如果认证时输入的用户名中未包含域名,则ME60默认该操作用户属于default_admin域。该域下的用户缺省采用default认证方案,default0计费方案。此域下的用户先本地认证后RADIUS认证,也不计费。
缺省情况下,自定义的域使用default1认证方案,default0域使用default0认证方案,default1域使用default1认证方案,default_admin域使用default认证方案。缺省的认证方案使用命令display authentication-scheme可以查看到详细信息。