配置有状态Kerberos认证

有状态Kerberos身份验证配置文件要求您指定一个服务器组，该服务器组包括Kerberos服务器和分配给经过身份验证的用户的角色。关于定义用于Kerberos认证的windows服务器的详细信息，请参见身份验证服务器．

当用户注销或关闭客户端机器时，用户将保持在经过身份验证的角色中，直到用户老化，这意味着在中指定的时间内没有用户流量用户闲置超时设置下配置>认证>高级>认证定时器．

下面介绍配置有状态Kerberos认证配置文件的过程:

1.在管理网络节点层次结构中的配置>认证页面。

2.选择有状态的Kerberos身份验证从L3身份验证选项卡。

3.下有状态Kerberos身份验证配置文件:新配置文件,单击添加按钮，以添加新的配置文件条目。要修改现有的有状态Kerberos身份验证配置文件，请选择下面的配置文件条目有状态的Kerberos身份验证在L3身份验证列表。

4.输入一个配置文件名称．

5.从默认角色下拉列表,在完成有状态Kerberos身份验证后，选择分配给所有用户的角色。

6.指定超时认证请求的周期为1 ~ 20秒。缺省值是10秒。

7.点击提交．

8.在所有配置文件列表中,选择服务器组有状态Kerberos身份验证配置文件下面的条目。

9.中选择要用于有状态Kerberos身份验证的Windows服务器组服务器组下拉列表。

10.当需要启用认证失败和负载均衡功能时，选中对应的复选框不能通过和负载平衡．

11.点击提交．

12.选择Pending Changes．

13.在Pending Changes窗口，选中复选框，单击部署变更．

下面的CLI命令配置有状态Kerberos身份验证。第一组命令定义用于Kerberos身份验证的服务器，第二组命令将该服务器添加到服务器组，第三组命令将该服务器组与有状态NT LAN Manager身份验证配置文件关联，然后定义配置文件设置。

(host) [md] (config) #aaa authentication-server Windows

克隆源> <

域域> <

启用

主机主机> <

(host) [md] (config) #aaa server-group

allow-fail-through

Auth-server [match-authstring {contains |equals | begin -with ][match-fqdn {all|}][position ][trim-fqdn]

克隆源> <

负载平衡

Set {role|vlan} condition [contains |end -with |equals |not-equals b| begin -with ][value-of][Set -value < Set -value-str>][position ]

(host) [md] (config) #aaa authentication state -kerberos . / /使用kerberos认证<配置文件名称>

克隆源> <

默认角色<默认角色>

服务器组<服务器组>

超时超时< >

以下CLI命令行界面。带有命令行shell的控制台接口，允许用户将文本输入作为命令执行，并将这些命令转换为适当的函数。命令显示配置有状态Kerberos认证的服务器和配置文件:

(host) [md] #show aaa authentication-server Windows

(host) [md] #显示aaa服务器组

(host) [md] #show aaa authentication state -kerberos . / /显示认证状态