受信した PoD および CoA 要求のユーザー名ドメインストリッピングの動作を有効にして定義するには、ダイナミック認証ローカル サーバー コンフィギュレーション モードで domain stripping コマンドを使用します。デフォルト設定に戻すには、このコマンドの
no 形式を使用します。
構文
domain stripping [right-to-left]
no domain stripping
パラメータ
stripping:着信のユーザー名と、ドメインデリミタの左側にある名前を比較します。
stripping [right-to-left](オプション):右から左方向に見て最初のデリミタで文字列を終了します。
コマンド モード
ダイナミック認証サーバ コンフィギュレーション(config-locsvr-da-radius)
デフォルト設定
ストリッピングはデフォルトでは無効になっています。ストリッピングのデフォルト方向は左から右です。
使用上のガイドライン
domain stripping コマンドを使用すると、domain delimiter コマンドで設定されたデリミタに基づいたユーザー名ドメインストリッピングが有効になります。ドメインストリッピングで着信のユーザー名と、@ ドメインデリミタの左側にある名前を比較できます。
ドメインストリッピングを設定すると、@ ドメインデリミタ(またはコマンド domain delimiter を使用して設定された他のデリミタ)の前に存在するユーザー名のみを使用して切断メッセージを送信できます。これにより、スイッチは、このユーザー名を可能性のあるドメインを持つスイッチ上の任意のセッションユーザー名と比較し、照合します。たとえば、ドメインストリッピングが設定されていて、ユーザー名「test」を使用してパケットオブディスコネクト(POD)要求または認可変更(CoA)要求を送信すると、PoD/CoA
メッセージとデバイスセッションユーザー名の比較が行われ、ユーザー名「test@example.com」または「test」が指定されたセッションがユーザー名「test」と一致します。
ドメインストリッピングが設定されていない場合(デフォルトの動作)、PoD および COA 要求で指定されたユーザー名は、デバイスのアクティブセッションに含まれる完全なユーザー名と比較されます。
right-to-left キーワードを使用すると、右から左方向に見て最初のデリミタでユーザー名文字列を終了するように指定します。
例
例 1:
次の例では、$ 文字がデリミタとして設定され、デリミタの左側でストリッピングが実行されます。この場合、セッションユーザー名が user1$my_users であると、PoD または CoA 要求で一致するユーザー名は「user1」です。
Switch010203(config)# aaa server radius dynamic-author
Switch010203(config-locsvr-da-radius)# domain delimiter $
Switch010203(config-locsvr-da-radius)# domain stripping
例 2:
次の例では、デフォルトのデリミタ @ を使用して、右から左方向に見て最初のデリミタの左でストリッピングが実行されます。ここでは、セッションユーザー名が user1@test.com@example.com の場合、PoD または CoA 要求で一致するユーザー名は「user1@test.com」です。
Switch010203(config)# aaa server radius dynamic-author
Switch010203(config-locsvr-da-radius)# domain stripping right-to-left