NESTA PÁGINA
Especificando uma instância de roteamento/sistema lógico AAA em um mapa de domínio
Especificando uma instância de roteamento/sistema lógico alvo em um mapa de domínio
Especificando um perfil do switch de túnel em um mapa de domínio
Configuração do uso de nomes de domínio e reino para mapas de domínio
Especificando a ordem de análise para nomes de domínio e reino
Especificando a direção de análise para nomes de domínio e reino
Alterar o nome de usuário e a senha para simplificar o provisionamento fora do chassi
Mapeando domínios de assinantes para opções de acesso e sessão
Visão geral do mapeamento de domínios
O mapeamento de domínio permite configurar um mapa que especifica opções de acesso e parâmetros específicos da sessão. O mapa é baseado no nome de domínio das sessões de assinantes — o roteador aplica as opções e parâmetros mapeados às sessões para assinantes que tenham os domínios especificados. Por exemplo, você pode configurar um mapa de domínio baseado no nome example.com
do domínio. As opções e parâmetros nesse mapa de domínio são então aplicados quando os assinantes com o nome de domínio especificado (por exemplo, bob@example.com
e juan@example.com
raj@example.com
) solicitam um serviço AAA.
O nome de usuário de um assinante normalmente é composto por duas partes — o nome do usuário seguido do nome de domínio do usuário, que são separados por um personagem delimiter. O nome de domínio está sempre à direita do delimiter de domínio. Por exemplo, no nome do usuário, juan@example.com
o nome juan
do usuário é seguido pelo nome example.com
do domínio, e os dois são separados pelo @
personagem delimiter.
No entanto, alguns sistemas usam um formato de nome de usuário no qual o domínio nomeia precedes o nome do usuário. Para evitar confusão com o uso típico de nome de domínio, esse tipo de nome de domínio anterior é conhecido como um nome de reino, e o nome do reino fica à esquerda do delimiter do reino. Por exemplo, no nome de usuário, top321-example.com/mary
a top321-example.com
parte é o nome do reino, mary
é o nome do usuário, e o /
personagem é o personagem delimiter.
O mapa de domínio oferece eficiência e permite que você faça alterações para um grande número de assinantes em uma única operação. Por exemplo, se um pool de atribuição de endereços ficar esgotado devido ao número de assinantes que obtêm endereços do pool, você pode criar um mapa de domínio que especifica que os assinantes em um determinado domínio obtêm endereços de um pool diferente. Em outro uso do mapa de domínio, você pode criar um novo perfil dinâmico e, em seguida, configurar o mapa de domínio para especificar quais assinantes (por seu domínio) usam esse perfil dinâmico.
A partir do Junos OS Release 21.3R1, você pode configurar subdomains em um mapa de domínio. Em um subdomain, você pode configurar perfis de acesso por VLAN ou para uma faixa VLAN. Esse aprimoramento oferece flexibilidade para diferenciar os usuários em um domínio e fornecer serviços diferentes com base nos perfis dos usuários.
O gerenciamento de assinantes é suportado apenas no sistema lógico padrão. A documentação do recurso de mapeamento de domínio de gerenciamento de assinantes descreve o uso e target-logical-system
as declarações para configurar o aaa-logical-system
mapeamento para um sistema lógico não padrão. Essas declarações são para futuras extensões de gerenciamento de assinantes.
A Tabela 1 descreve as opções de acesso e parâmetros que você pode configurar no mapa de domínio.
Opção |
Descrição |
---|---|
Sistema lógico AAA/instância de roteamento |
Sistema lógico/instância de roteamento em que a AAA envia solicitações de autenticação e contabilidade para as sessões de assinantes. O gerenciamento de assinantes é suportado apenas no sistema lógico padrão. |
Perfil de acesso |
Perfil de acesso aplicado a sessões de assinantes. |
Pool de endereços |
Pool de endereços usado para alocar endereços para assinantes. |
Regras de nome de domínio e reino |
Regras para uso de nomes de domínio e reino, incluindo remoção de nomes de domínio, delimiters suportados e direção de parse (os delimiters e a direção do parse estão configurados globalmente). |
Perfil dinâmico |
Perfil dinâmico aplicado a sessões de assinantes. |
Parâmetros PADN |
Informações de rota de PPPoE para sessões de assinantes. |
Sistema lógico alvo/instância de roteamento |
Sistema lógico/instância de roteamento à qual a interface do assinante é anexada. O gerenciamento de assinantes é suportado apenas no sistema lógico padrão. |
Perfil do túnel |
Perfil de túnel aplicado a sessões de assinantes. |
- Tipos de mapas de domínio e sua ordem de precedência
- Mapa do domínio do curinga
- Mapa de domínio padrão
- Mapa de domínio para nomes de usuário de assinantes sem nome de domínio ou reino
- Entender mapas de domínio e contextos de instâncias lógicas de sistema/roteamento
- Benefícios do uso de mapas de domínio
Tipos de mapas de domínio e sua ordem de precedência
A partir do Junos OS Release 16.1, o gerenciamento de assinantes usa um pedido específico ao procurar um mapa de domínio que corresponda ao nome do domínio do assinante. A lista a seguir mostra essa ordem:
Mapa exato de domínio de correspondência — o nome do domínio do assinante é uma correspondência exata com um mapa de domínio configurado.
Mapa de domínio curinga — o nome do domínio do assinante é uma combinação parcial com um mapa de domínio curinga.
default
mapa de domínio — o nome do domínio do assinante não é nem uma correspondência exata nem um curinga parcial em um mapa de domínio.
Se o nome de usuário do assinante não tiver um nome de domínio, então nenhuma pesquisa será realizada e o assinante estiver associado ao mapa de none
domínio, se configurado.
Mapa do domínio do curinga
A partir do Junos OS Release 16.1, o recurso de mapa de domínio curinga permite especificar um nome de domínio que é usado pelos assinantes quando não há correspondência exata com o nome de domínio do assinante. Por exemplo, se você criar um mapa de domínio curinga com o nomexyz*.example.com
, assinantes com os nomes xyz.example.com
de domínio, xyz-eastern.example.com
xyz-1234.example.com
e xyz-northern.example.com
todos forem mapeados para esse domínio curinga se não houver correspondência exata para os nomes de domínio dos assinantes. Você pode inserir o personagem curinga asterisco em qualquer lugar do mapa de domínio para criar a especificação de correspondência desejada. O mapeamento de domínio curinga também é usado nos casos em que os nomes de assinantes são derivados do DHCPv4 Agent Remote ID (opção 82 suboption 2) ou do DHCPv6 Remote-ID (opção 37).
Mapa de domínio padrão
Você pode configurar um mapa de domínio padrão que o roteador usa para assinantes cujo nome de domínio ou reino não corresponda explicitamente a nenhum mapa de domínio existente, e também não é uma combinação parcial com um mapa de domínio curinga. Especifique o nome default
como domain map domain-map-name
.
Por exemplo, você pode configurar o mapa de domínio padrão para fornecer suporte limitado de recursos para assinantes convidados, como um pool de endereços específico usado para convidados ou a instância de roteamento que fornece serviços AAA. Quando o roteador não consegue fornecer uma correspondência exata ou curinga para o assinante convidado, o roteador usa as regras especificadas na configuração padrão do mapa de domínio para lidar com a solicitação do assinante convidado.
Mapa de domínio para nomes de usuário de assinantes sem nome de domínio ou reino
Em alguns casos, um nome de usuário do assinante pode não incluir um nome de domínio ou nome de reino — você pode configurar um mapa de domínio específico que o roteador usa para esses assinantes. Especifique o nome none
como domain map domain-map-name
.
Entender mapas de domínio e contextos de instâncias lógicas de sistema/roteamento
Você pode usar um mapa de domínio para gerenciar a instância lógica de sistema/roteamento que o gerenciamento de assinantes usa para contextos AAA e assinantes. O gerenciamento de assinantes é suportado apenas no sistema lógico padrão, para que você gerencie os contextos configurando a instância de roteamento. A lista a seguir descreve os dois tipos de contexto:
Contexto do assinante — a instância lógica de sistema/roteamento em que a interface do assinante é colocada. Para a maioria das sessões dinâmicas de assinantes, o contexto inicial da sessão do assinante é o sistema lógico padrão e a instância de roteamento padrão. Uma exceção é a LNS, na qual o contexto inicial para uma sessão de LNS dinâmica (PPP sobre L2TP) é o mesmo que a interface peer (a interface voltada para LAC). Portanto, para sessões de LNS, se a interface de peer usar uma instância de roteamento não padrão, o contexto inicial da sessão do assinante também usa essa instância de roteamento não padrão.
Contexto AAA — a instância lógica de sistema/roteamento que a sessão do assinante usa para interações RADIUS, como autenticação e solicitações de contabilidade. Por padrão, o contexto AAA é o mesmo que o contexto inicial do assinante. Portanto, para todas as sessões de assinantes que não sejam sessões de LNS dinâmicas, a autenticação e a autorização são realizadas no contexto padrão de instâncias lógicas de sistema/roteamento, a menos que a instância de roteamento padrão seja explicitamente alterada.
Você pode configurar opcionalmente um mapa de domínio para usar um contexto AAA ou assinante específico. Por exemplo, se uma sessão de LNS dinâmica for criada inicialmente em uma instância de roteamento não padrão (porque o contexto inicial do assinante usa a instância de roteamento não padrão), você pode usar a target-routing-instance
declaração para configurar o mapa de domínio para colocar o assinante na instância de roteamento padrão. Ou, por motivos de segurança, você pode querer ter todas as interações RADIUS em um contexto específico. Nesse caso, você usaria a aaa-routing-instance
declaração para configurar o mapa de domínio para alterar o contexto AAA inicial para a nova instância de roteamento.
Usar mapas de domínio para gerenciar contextos AAA e assinantes também é útil em ambientes de atacado de camada 3. Por exemplo, você pode querer colocar interfaces VLAN dinâmicas em diferentes instâncias de roteamento não padrão, mantendo todas as interações RADIUS na instância de roteamento padrão. Neste exemplo, o contexto AAA inicial está na instância de roteamento padrão, mas a autorização RADIUS coloca a sessão VLAN do assinante em uma instância de roteamento não padrão. Em seguida, você pode incluir a aaa-routing-instance
declaração no mapa de domínio, para especificar que o contexto AAA usa a instância de roteamento padrão para a sessão VLAN dinâmica. A sessão do assinante não mudou e permanece na instância de roteamento não padrão.
Benefícios do uso de mapas de domínio
Os mapas de domínios simplificam o gerenciamento de assinantes em escala, permitindo que você faça alterações para um grande número de assinantes em uma única operação.
Os mapas de domínio fornecem granularidade na aplicação de alterações em grupos específicos de assinantes com base nas definições do seu mapa.
Configuração de um mapa de domínio
Para configurar um mapa de domínio para o gerenciamento de assinantes:
Configuração de um mapa de domínio curinga
O gerenciamento de assinantes oferece suporte a um recurso de mapa de domínio curinga que permite configurar um mapeamento de domínio baseado em uma correspondência curinga parcial. Quando não há correspondência exata entre o nome do domínio do assinante e um mapa de domínio configurado, o gerenciamento de assinantes procura uma correspondência parcial entre o nome do domínio do assinante e um mapa de domínio curinga.
Para criar o mapa de domínio curinga, você inclui o personagem curinga asterisco quando configura o nome do mapa de domínio, como, domain map example*
. Você pode inserir o personagem curinga em qualquer lugar do mapa de domínio, e o curinga pode representar zero ou qualquer número de caracteres. O asterisco é o único personagem curinga suportado.
Por exemplo, a declaração domain map example*northern.com
de configuração cria um mapa de domínio curinga que é uma combinação parcial para todos os nomes de domínio que começam com example
e terminam com northern.com
, como examplenorthern.com
, example-northern.com
e example1234northern.com
. No entanto, se você mover o personagem curinga no nome do mapa de domínio para domain map example-northern*.com
, isso cria uma combinação mais restritiva que requer que os nomes de domínio parciais de correspondência comecem com example-northern
, como example-northern555.com
ou example-northern-alpha.com
.
O mapeamento de domínio curinga também é útil quando o gerenciamento de assinantes deriva nomes de usuário de assinantes do DHCPv4 Agent Remote ID (opção 82 suboption 2) ou do DHCPv6 Remote-ID (opção 37). Nesses casos, o nome de usuário resultante está no formato subscriberID|service-plan|accountID|unused
; por exemplo, EricSmith|premiumTier1|314159265|0000
(onde o |
personagem é o delimiter). Neste exemplo, o gerenciamento de assinantes analisa o nome de usuário da esquerda para a direita e identifica o domínio do assinante como premiumTier1|314159265|0000
. Para criar um mapa de domínio curinga usado para este assinante, você pode configurar domain map premiumTier1*
.
O exemplo a seguir descreve como quatro assinantes são mapeados para diferentes domínios.
Por exemplo, existem três mapas de domínio configurados; o mapa de default
domínio, um mapa de domínio nomeado example3000.com
e um mapa de domínio curinga chamado example*
. Os assinantes são mapeados conforme mostrado na lista a seguir:
eric@example3000.com — existe uma correspondência exata do mapa de domínio, para que o assinante seja mapeado para o domínio
example3000.com
.jack@example1001.com — não há correspondência exata, mas há uma correspondência parcial com o domínio curinga, de modo que o assinante é mapeado para o domínio
example*
curinga.ginger@example-western.com — não há correspondência exata, mas há uma correspondência parcial com o domínio curinga, de modo que o assinante também é mapeado para o domínio
example*
curinga.sunshine@test.com— Não há correspondência exata, nem uma correspondência parcial com o domínio curinga, de modo que o assinante seja mapeado para o
default
domínio.
Para configurar um mapa de domínio curinga:
Especificando um perfil de acesso em um mapa de domínio
Você usa perfis de acesso para especificar as regras e opções de acesso (por exemplo, o servidor de autenticação RADIUS e atributos) que o roteador aplica às sessões de assinantes. O recurso de mapa de domínio permite que você aplique um perfil de acesso específico para assinantes em um determinado domínio.
Os perfis de acesso podem ser especificados ou modificados de várias maneiras diferentes. Caso ocorram conflitos, o roteador aplica os perfis de acesso com base nas regras de precedência mostradas na Tabela 2.
Precedência (alta a baixa) |
Como o perfil de acesso é aplicado |
---|---|
1 |
Especificado pelo atributo RADIUS Redirect-VRouter-Name (VSA 26-25) |
2 |
Especificada na configuração do mapa de domínio |
3 |
Especificada indiretamente na estrofe de configuração do mapa de domínio pelo mapeamento de instâncias de roteamento/sistema lógico AAA |
4 |
Especificada na estrofe de configuração do cliente |
5 |
Especificada na estrofe de configuração lógica do sistema/roteamento |
Para incluir um perfil de acesso em um mapa de domínio:
Especificando um pool de endereços em um mapa de domínio
Você pode usar o recurso do mapa de domínio para especificar o pool de endereços que o roteador usa para alocar endereço para sessões de assinantes. O pool de endereços pode incluir faixas de endereço IPv4 e IPv6.
Os pools de endereços podem ser especificados ou modificados de várias maneiras diferentes. Caso ocorram conflitos, o roteador aplica o pool de endereços com base nas regras de precedência mostradas na Tabela 3.
Precedência (alta a baixa) |
Como a referência do pool de endereços é fornecida |
---|---|
1 |
Especificado pelo atributo RADIUS Framed-Pool (atributo RADIUS 88) |
2 |
Configurada na configuração do mapa de domínio |
3 |
Especificada na estrofe de configuração do cliente (por regras de correspondência de endereço) |
Para especificar o pool de endereços usado para um mapa de domínio:
Especificando um perfil dinâmico em um mapa de domínio
Um perfil dinâmico define o conjunto de características que fornecem acesso dinâmico e serviços para sessões de assinantes (como classe de serviço, protocolos e suporte de interface). O recurso do mapa de domínio permite que você aplique um perfil dinâmico específico com base em domínios de assinantes.
Os perfis dinâmicos são configurados na [edit dynamic-profiles]
hierarquia e podem ser especificados ou modificados de várias maneiras diferentes. Caso ocorram conflitos, o roteador aplica os perfis dinâmicos com base nas regras de precedência mostradas na Tabela 4.
Precedência (alta a baixa) |
Como o perfil dinâmico é aplicado |
---|---|
1 |
Especificado pelo atributo RADIUS Virtual-Router (VSA 26-1) ou pelo atributo Redirect-VRouter-Name (VSA 26-25) |
2 |
Especificada na configuração do mapa de domínio |
3 |
Especificada na estrofe de configuração do cliente |
Para incluir um perfil dinâmico em um mapa de domínio:
Especificando uma instância de roteamento/sistema lógico AAA em um mapa de domínio
Por padrão, um mapa de domínio usa o sistema lógico do assinante/instância de roteamento como o contexto em que o authd
daemon envia solicitações de autenticação e contabilidade AAA. Você pode configurar opcionalmente o mapa de domínio para direcionar as solicitações AAA para um contexto específico, com base no nome do domínio do assinante. Especificar um contexto AAA não padrão permite que você gerencie o fluxo de trabalho e a carga de tráfego e faça mudanças com eficiência para um grande número de assinantes. Por exemplo, depois de atualizar seus serviços RADIUS, você pode configurar um mapa de domínio para especificar que todos os assinantes do domínio example.com
agora são autenticados por um servidor RADIUS em um contexto AAA específico.
Mudar o contexto AAA não muda o contexto do assinante. Você usa a target-logical-system
declaração para configurar explicitamente a instância lógica de sistema/roteamento para assinantes.
Para configurar o contexto lógico do sistema/instância de roteamento usado para solicitações AAA:
O gerenciamento de assinantes é suportado apenas no sistema lógico padrão.
Especificando uma instância de roteamento/sistema lógico alvo em um mapa de domínio
Por padrão, o roteador coloca um assinante no contexto lógico do sistema/instância de roteamento da interface em que as negociações de assinantes começam. Mais tarde, você pode alterar a instância de roteamento do contexto do assinante por meio do uso de um mapa de domínio ou do servidor de autenticação RADIUS.
O gerenciamento de assinantes é suportado apenas no sistema lógico padrão, no entanto, você pode configurar o mapa de domínio para usar uma instância de roteamento não padrão. Além disso, se uma instância de roteamento não padrão já estiver configurada, você pode configurar o mapa de domínio para usar a instância de roteamento padrão.
Para configurar o contexto lógico do sistema/instância de roteamento usado para a interface de um assinante:
O gerenciamento de assinantes é suportado apenas no sistema lógico padrão.
Especificando um perfil de túnel em um mapa de domínio
Os perfis de túnel especificam definições de túnel (por exemplo, um conjunto de túneis L2TP e seus atributos) que o roteador aplica às sessões de assinantes. O recurso de mapa de domínio permite que você aplique um perfil de túnel específico aos assinantes em um determinado domínio.
Um perfil de túnel especificado por um servidor RADIUS no atributo Tunnel-Group (VSA 26-64) tem precedência sobre o perfil do túnel especificado no mapa de domínio.
Incluir um perfil de túnel em um mapa de domínio:
Veja também
Especificando um perfil do switch de túnel em um mapa de domínio
Os perfis do switch de túnel determinam se os pacotes em uma sessão de assinantes L2TP de um LAC são trocados para outra sessão que tem uma LNS de destino diferente. O perfil do switch de túnel também pode especificar como certos AVPs L2TP são tratados quando os pacotes são trocados para um segundo túnel. O recurso de mapa de domínio permite aplicar um perfil específico de switch de túnel aos assinantes em um determinado domínio.
Um perfil de switch de túnel especificado por um servidor RADIUS no Tunnel Switch-Profile VSA (26-91) tem precedência sobre o perfil do switch de túnel especificado no mapa de domínio. Se o Tunnel-Group VSA (26-64) for recebido, além do Tunnel Switch-Profile VSA (26-91), o SWITCH-Profile VSA (26-91) tem precedência sobre o Tunnel-Group VSA (26-64), garantindo que os assinantes sejam comutados por túnel em vez de LAC em túnel.
Para incluir um perfil de switch de túnel em um mapa de domínio:
Veja também
Configuração do uso de nomes de domínio e reino para mapas de domínio
Você pode configurar como o roteador determina os nomes de domínio usados para o recurso de mapeamento de domínios. Em nível global, você pode especificar regras usadas para mapas de domínio. As regras globais permitem especificar caracteres adicionais que o roteador pode reconhecer como delimiters de nomes de domínio ou reino e especificar a direção que o roteador usa para analisar nomes de domínio ou reino. O objetivo de analisar um nome de domínio ou reino é identificar um nome único e único que o roteador usa como nome de domínio do assinante, independentemente de a origem do nome estar no formato típico de nome de domínio (joseph@example.com) ou no formato de nome do reino (example.com\marilyn). O roteador usa o nome de domínio resultante para operações como a busca e o processamento de mapas de domínio. No nível do mapa de domínio, você também pode habilitar a remoção de nomes de domínio. A remoção do nome do domínio especifica que o roteador remove o domínio ou nome de reino analisado do nome de usuário do assinante antes de realizar qualquer processamento adicional para o mapa de domínio.
Para configurar regras de uso de nomes de domínio para mapas de domínio:
Especificando delimiters de nome de domínio e reino
Um delimiter é o personagem que separa um nome de usuário assinante do domínio ou nome do reino. Os delimiters são comumente usados para análise de nomes de domínio ou reino ou remoção de nomes de domínio. Você pode especificar um máximo de oito delimiters que o roteador usa para reconhecer nomes de domínio ou reino para um mapa de domínio. Se você não configurar nenhum delimiters, o roteador usará o @
personagem por padrão para nomes de domínio. Não há um delimiter padrão para nomes de reinos.
Por exemplo, sua rede pode incluir os assinantes bob@test.com
epete!example.com
test.net\maria
. Neste caso, você configuraria o roteador para reconhecer os caracteres @
e !
como delimiters de nome de domínio, e o \
personagem como um delimiter de nome de reino.
Tenha em mente as seguintes diretrizes ao especificar os delimiters:
Você não pode usar o ponto e vírgula (;) como um delimiter.
Se você configurar delimiters opcionais de nome de domínio, você também deve especificar o
@
personagem (o delimiter padrão) se você quiser continuar a usá-lo como um delimiter.Se você configurar delimiters de nome de domínio opcionais e depois desconfigá-los, o roteador define o delimiter do mapa de domínio de volta ao personagem padrão
@
.
Para configurar delimiters de nomes de domínio e reino para mapas de domínio:
Especificando a ordem de análise para nomes de domínio e reino
O roteador analisa o domínio de nome de usuário ou nome de reino para identificar um nome único e único que o roteador usa como nome de domínio do assinante, independentemente de a fonte do nome estar no formato típico de nome de domínio (joseph@example.com) ou no formato de nome do reino (example.com\marilyn). Você pode especificar se o roteador pesquisa primeiro o nome de usuário do assinante para um nome de domínio ou para um nome de reino. Se o roteador não encontrar o nome especificado (por exemplo, você especifica realm-first
e não há nome de reino no nome do usuário), então o roteador pesquisa o segundo tipo de nome (nome do domínio, neste caso). Se o roteador não encontrar um nome de reino ou um nome de domínio, não haverá domínio que possa ser usado para operações de mapeamento de domínios.
Para configurar a direção de análise de nome de domínio para mapas de domínio:
Especificando a direção de análise para nomes de domínio e reino
Você pode especificar a direção em que o roteador executa a operação de análise que usa para identificar nomes de domínio ou reino de assinantes para mapas de domínio. Durante a operação de análise, o roteador pesquisa o nome do usuário até reconhecer um delimiter. Em seguida, considera qualquer coisa à direita do delimiter como o domínio. Por padrão, o roteador analisa da direita para a esquerda, começando pelo personagem mais à direita no nome do usuário.
O roteador usa o nome de domínio de um assinante para realizar operações de busca e processamento de mapas de domínio. Você pode configurar como o roteador identifica um nome de domínio único quando o nome do usuário é apresentado em um formato de nome de domínio tradicional ou um nome de reino. No formato de nome de domínio tradicional, o nome do usuário é seguido pelo nome do domínio; por exemplo, joe@example.com. No formato de nome do reino, o nome do usuário é precedido pelo nome de domínio, conhecido como nome do reino; por exemplo, example.com@joe. O objetivo de analisar um nome de domínio ou reino é identificar um único nome que o roteador usa como nome de domínio do assinante, independentemente de a origem do nome ser o nome ou nome de domínio original do usuário. O roteador usa o nome de domínio resultante para operações como a busca e o processamento de mapas de domínio. No nível do mapa de domínio, você também pode habilitar a remoção de nomes de domínio.
A direção de análise de domínio que você usa é importante quando há nomes de domínio aninhados. Por exemplo, para o nome user1@test.com@example.com
de usuário, a análise da direita para a esquerda produz um nome de domínio de example.com
. Para o mesmo nome de usuário, a análise da esquerda para a direita produz um nome de domínio de test.com@example.com
.
Essa operação é semelhante à análise da porção do usuário de um nome de usuário, mas a direção padrão e os resultados são diferentes.
Para configurar a direção de análise de nome de domínio para mapas de domínio:
Habilitando a remoção de nomes de domínio
Você pode configurar o roteador para tirar o nome de domínio de nomes de usuário antes que qualquer serviço AAA seja usado. A remoção de nomes de domínio é feita para mapas de domínio. O roteador usa os delimiters e a direção de análise que você configura globalmente para determinar o nome de domínio que é removido. Por exemplo, se o roteador usar o delimiter padrão e a direção right-to-left
de análise, o nome user1@example.com
de usuário será despojado.user1
Para configurar o roteador para tirar o nome de domínio de nomes de usuário em um mapa de domínio:
Alterar o nome de usuário e a senha para simplificar o provisionamento fora do chassi
Para alguns casos de uso, você pode querer provisionar nomes de usuário de assinantes L2TP LAC e senhas de autenticação fora do chassi do roteador. Você pode tirar a parte do usuário do nome do usuário e substituir a senha do usuário.
Você pode configurar como o roteador identifica a porção do usuário a ser despojada quando o nome de usuário é apresentado no formato de nome de domínio tradicional ou no formato de nome do reino. No formato de nome de domínio tradicional, o nome do usuário é seguido pelo nome do domínio; por exemplo, joe@example.com. No formato de nome do reino, o nome do usuário é precedido pelo nome de domínio, conhecido como nome do reino; por exemplo, example.com@joe.
Você pode especificar a direção em que o roteador executa a operação de análise que usa para identificar a porção do usuário do nome de usuário. Durante a operação de análise, o roteador pesquisa o nome do usuário até reconhecer um delimiter. Por padrão, o roteador analisa da esquerda para a direita, começando pelo personagem mais à esquerda no nome do usuário. Tudo à esquerda do delimiter é a parte do usuário. Essa direção funciona para o formato de nome de domínio tradicional. Com essa configuração, o roteador identifica e tira joe da joe@example.com.
Para nomes de usuário no formato de nome do reino, você precisa mudar a direção de análise para right-to-left
. O roteador analisa da direita para a esquerda, começando pelo personagem mais à direita no nome de usuário. Quando o roteador reconhece o delimiter, ele considera qualquer coisa à direita do delimiter como a porção do usuário. Com essa configuração, o roteador identifica e tira Joe da example.com@joe.
Esta operação é semelhante à operação de parsing de nome/reino do domínio, mas a direção padrão e os resultados são diferentes da análise de nome/reino do domínio.
A porção do usuário é despojada apenas para o nome de usuário enviado a um servidor externo para autenticação. O nome de usuário não rasgado é usado para operações contábeis.
Para configurar a porção do usuário a ser retirada do nome de usuário para todos os nomes de usuário associados a um mapa de domínio:
Especifique a direção de análise que você deseja que o roteador use:
Use
left-to-right
quando o nome de usuário estiver no formato típico de nome de domínio, no qual o nome do domínio segue o nome do usuário.[edit access domain map domain-map-name] user@host# set strip-username left-to-right
Use
right-to-left
quando o nome de usuário estiver no formato de nome do reino, no qual o nome do reino precede o nome do usuário.[edit access domain map domain-map-name] user@host# set strip-username right-to-left
Você pode especificar uma nova senha para substituir a senha existente para autenticar qualquer assinante associado ao mapa de domínio. Para substituir a senha:
Especifique a senha de substituição para autenticação do PAP.
[edit access domain map map-name] user@host# set override-password password
-
Especifique a senha de substituição para autenticação de CHAP.
[edit access domain map map-name] user@host# set override-chap-password password