只允许对部分端口进行操作
- 1关注
- 1收藏,1484浏览
问题描述:
请问如何做到一个用户登录设备后只允许其对设备的部分接口做命令操作,例如,设备上有十个接口,该用户登录上来后,只能对其中五个端口做任何的命令操作,但是另外五个端口无法做任何操作。我使用RBAC的方法测试没有实现需求。有大神指点一下吗?
组网及组网描述:
- 2020-09-24提问
- 举报
-
(0)
最佳答案
您好。
配置示例:
# 配置ISP域bbb的AAA方法为本地认证和本地授权。
[Router] domain bbb
[Router-isp-bbb] authentication login local
[Router-isp-bbb] authorization login local
[Router-isp-bbb] quit
# 创建用户角色role1。
[Router] role name role1
# 配置用户角色规则1,允许用户执行所有特性中读类型的命令。
[Router-role-role1] rule 1 permit read feature
# 配置用户角色规则2,允许用户执行进入接口视图以及接口视图下的相关命令。
[Router-role-role1] rule 2 permit command system-view ; interface *
# 进入接口策略视图,允许用户具有操作接口GigabitEthernet1/0/2的权限。
[Router-role-role1] interface policy deny
[Router-role-role1-ifpolicy] permit interface gigabitethernet 1/0/2
[Router-role-role1-ifpolicy] quit
[Router-role-role1] quit
# 创建设备管理类本地用户user1。
[Router] local-user user1 class manage
# 配置用户的密码是明文的aabbcc。
[Router-luser-manage-user1] password simple aabbcc
# 指定用户的服务类型是Telnet。
[Router-luser-manage-user1] service-type telnet
# 指定用户user1的授权角色为role1。
[Router-luser-manage-user1] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户user1具有的缺省用户角色network-operator。
[Router-luser-manage-user1] undo authorization-attribute user-role network-operator
[Router-luser-manage-user1] quit
注:undo authorization-attribute user-role network-operator这个一定要删掉。
- 2020-09-24回答
- 评论(0)
- 举报
-
(0)
这个是做不到,只能通过权限下面的这些权限
network-admin
network-operator
level-0
level-1
level-2
level-3
level-4
level-5
level-6
level-7
level-8
level-9
level-10
level-11
level-12
level-13
level-14
level-15
3-15都是超级管理员,权限相同
前两个权限没这么大,1只能做到查询什么的,涉及到系统的是无法操作的
- 2020-09-24回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论