配置客户端用户名
客户端用户名配置
只有与已分配给客户端的客户端用户名相关联的消息 VPN,客户端才有授权连接。当在消息 VPN 中创建客户端用户名时,它与该特定的消息 VPN 相关联。
客户端对事件代理上的资源和消息功能的访问是通过在事件代理上配置的客户端用户名账户来实现的。当客户端经过认证时,它们会被提供与这些客户端用户名相关联的预定义配置。
要创建客户端用户名账户,请输入以下命令:
solace(configure)# create client-username <username> message-vpn <vpn-name>
要编辑现有的客户端用户名账户,请输入以下命令:
solace(configure)# client-username <username> message-vpn <vpn-name>
要删除现有的客户端用户名账户,请输入以下命令:
solace(configure)# no client-username <username> message-vpn <vpn-name>
其中:
<username> 是客户端用户名账户的用户名。如果客户端用户名账户尚不存在,则会创建它。
用户名必须在其本地消息 VPN 中所有已创建的客户端用户名中是唯一的。用户名可以包含最多 189 个可打印的 ASCII 字符(即,范围在 0x20 – 0x7e 之间的字符)。用户名区分大小写。注意,字符“?”和“*”是不允许的,因为它们在某些 Solace CLI 命令中使用(例如,show 命令)。
<vpn-name> 是客户端用户名所在的消息 VPN 的名称。
您可以对给定的客户端用户名执行以下配置任务:
- 分配 ACL 配置文件
- 分配客户端配置文件
- 配置订阅管理器
- 启用端点权限覆盖
- 启用/禁用客户端用户名账户
- 设置客户端用户名密码
- 设置客户端用户名属性
分配ACL配置文件
要将现有的访问控制列表(ACL)配置文件分配给客户端用户名账户,请输入以下命令:
solace(configure)# client-username <username> message-vpn <vpn-name>
solace(configure/client-username)# acl-profile <name>
其中:
<name> 是给定消息 VPN 中现有 ACL 配置文件的名称。
此命令的 no 版本,no acl-profile,将分配的 ACL 配置文件重置回名为 default 的默认 ACL 配置文件。
有关 ACL 配置文件的信息,请参阅 ACL 配置。
分配客户端配置文件
要将现有的客户端配置文件分配给客户端用户名账户,请输入以下命令:
solace(configure)# client-username <username> message-vpn <vpn-name>
solace(configure/client-username)# client-profile <name>
其中:
<name> 是给定消息 VPN 中现有客户端配置文件的名称。
此命令的 no 版本,no client-profile,将分配的客户端配置文件重置回名为 default 的默认客户端配置文件。
有关创建和配置客户端配置文件的信息,请参阅配置客户端配置文件。
配置订阅管理器
配置为订阅管理器的客户端可以代表消息 VPN 中的其他客户端添加或删除直接消息的订阅。
要配置使用给定客户端用户名的客户端在给定消息 VPN 中作为订阅管理器,请输入以下命令:
solace(configure)# client-username <username> message-vpn <vpn-name>
solace(configure/client-username)# subscription-manager
此命令的 no 版本,no subscription-manager,禁用给定客户端用户名的订阅管理器功能。
配置为订阅管理器的客户端受与它们的客户端用户名相关联的 ACL 配置文件中的规则的约束。这可能会限制它们代表其他�客户端添加的订阅。
启用端点权限覆盖
此命令启用客户端用户名账户的端点权限覆盖。启用后,所有端点都可以像所有者一样被访问、修改或删除。(此权限覆盖的唯一例外是 CLI 用户配置的端点仍然只能由该 CLI 用户(即,所有者)删除。)
端点权限覆盖默认是禁用的。
要启用给定客户端用户名账户的端点权限覆盖,请输入以下命令:
solace(configure)# client-username <username> message-vpn <vpn-name>
solace(configure/client-username)# guaranteed-endpoint-permission-override
此命令的 no 版本,no guaranteed-endpoint-permission-override,禁用客户端用户名账户的端点权限覆盖。
启用/禁用客户端用户名账户
要启用客户端用户名账户,请输入以下命令:
solace(configure)# client-username <username> message-vpn <vpn-name>
solace(configure/client-username)# no shutdown
要禁用客户端用户名账户,请输入以下命令:
solace(configure)# client-username <username> message-vpn <vpn-name>
solace(configure/client-username)# shutdown
默认情况下,当您创建新的客户端用户名账户时,它会自动启用。同样,名为 default 的客户端用户名账户是未启用的。
设置客户端用户名密码
默认情况下,客户端用户名未设置密码。要为给定的客户端用户名账户设置密码,该密码随后用于在事件代理上配置的内部认证作为用户认证方法时认证客户端用户名账户,请输入以下命令:
solace(configure)# client-username <username> message-vpn <vpn-name>
solace(configure/client-username)# password <password>
其中:
<password> 是指定客户端用户名账户的密码。密码可以包含 1 到 128 个非空字符。密码不能包含以下字符::()";'<>,`\&|
此命令的 no 版本,no password,移除客户端用户名账户设置的任何密码。
- 密码在存储到事件代理数据库之前会通过单向加密进行加密。如果启用了内部认证,但未为给定客户端用户名分配密码,则该客户端的认证失败。
- 更改客户端用户名的密码对已经使用旧密码与事件代理认证的连接没有影响。
- 密码在输入时会显示在屏幕上(以便操作员可以验证密码是否正确),但它不会在任何
show用户执行命令显示输出中显示。
设置客户端用户名属性
客户端用户名属性是键值对,可用于定位客户端用户名,例如在使用客户端证书到消息 VPN 匹配时。有关详细信息,请参阅配置客户端证书到消息 VPN 匹配。
代理上的 客户端用户名属性 对象数量少于 客户端用户�名 对象数量。因此,您必须谨慎创建属性的数量。有关详细信息,请参阅系统限制和警报电子表格(从 Solace 产品网站为设备和 PubSub+ 企业客户提供)。
要创建客户端用户名属性,请输入以下命令:
solace(configure)# client-username <username> message-vpn <vpn-name>
solace(configure/client-username)# create attribute <name> <value>
其中:
<name> 是属性的名称(最多 64 个字符)。
<value> 是属性的值(最多 256 个字符)。
此命令的 no 版本,no attribute <name> <value>,移除属性。
以下示例为客户端用户名 App1 设置名为 ou、值为 Unit1 的客户端用户名属性。如果在事件代理上配置了适当的客户端证书匹配规则,事件代理将比较客户端证书中的组织单位,以确保它与 Unit1 匹配,然后才允许客户端连接到消息 VPN。
solace(configure)# client-username App1 message-vpn vpn1
solace(configure/client-username)# create attribute ou Unit1
如果您使用 LDAP 授权,用户名属性必须在外部 LDAP 服务器上配置。
示例:配置客户端用户名账户
此示例演示如何:
- 在单独的消息 VPN(
blue和red)中创建客户端用户名账户(pascal) - 在两个消息 VPN 中创建客户端配置文件(
Sales_Access) - 将这些客户端配置文件分配给客户端用户名账户
- 激活客户端用户名账户以提供服务
-
创建消息 VPN
blue:solace> enable
solace# configure
solace(configure)# create message-vpn blue
solace(configure/message-vpn)# exit -
创建消息 VPN
red:solace(configure)# create message-vpn red
solace(configure/message-vpn)# exit -
在消息 VPN
blue中创建客户端用户名账户pascal:solace(configure)# create client-username pascal message-vpn blue
solace(configure/client-username)# exit -
在消息 VPN
red中创建客户端用户名账户pascal:solace(configure)# create client-username pascal message-vpn red
solace(configure/client-username)# exit -
输入以下 show 命令以确认客户端用户名账户
pascal的创建:solace(configure)# show client-username pascal message-vpn * -
在消息 VPN
blue中创建客户端配置文件Sales_Access:solace(configure)# create client-profile Sales_Access message-vpn blue
solace(configure/client-profile)# exit -
在消息 VPN
red中创建客户端配置文件Sales_Access:solace(configure)# create client-profile Sales_Access message-vpn red
solace(configure/client-profile)# exit -
输入以下 show 命令以确认客户端配置文件
Sales_Access的创建和配置。solace(configure)# show client-profile Sales_Access detail -
输入 client-profile 客户端用户名 CONFIG 命令,将客户端配置文件
Sales_Access分配给消息 VPNblue中的客户端用户名账户pascal:solace(configure)# client-username pascal message-vpn blue
solace(configure/client-username)# client-profile Sales_Access
solace(configure/client-username)# exit -
将客户端配置文件
Sales_Access分配给消息 VPNred中的客户端用户名账户pascal:solace(configure)# client-username pascal message-vpn red
solace(configure/client-username)# client-profile Sales_Access
solace(configure/client-username)# exit -
输入以下 show 命令以确认客户端用户名账户已分配给客户端配置文件
Sales_Access:solace(configure)# show client-username pascal detail -
激活消息 VPN
blue中的客户端用户名账户pascal以提供服务:solace(configure)# client-username pascal message-vpn blue
solace(configure/client-username)# no shutdown
solace(configure/client-username)# exit -
激活消息 VPN
red中的客户端用户名账户pascal以提供服务:solace(configure)# client-username pascal message-vpn red
solace(configure/client-username)# no shutdown
solace(configure/client-username)# exit -
输入以下 show 命令以确认客户端用户名账户的激活:
solace(configure)# show client-username pascal message-vpn *Username Message VPN Enabled # Clients------------------------------- --------------------------- ------- --------pascal blue Yes 0pascal red Yes 0 -
要激活消息 VPN
blue、red和default以提供服务,请转到 CLI 步骤以使用客户端配置文件设置 VPN。