S12508G-AF用户权限问题
- 0关注
- 0收藏,50浏览
问题描述:
local-user admin class manage
password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOhbabIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==
service-type telnet terminal http https
authorization-attribute user-role level-3
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
为什么咱华三的v7版本 user-role level-3 要同时存在 user-role network-admin,谁能讲解一下level 来历和network-admin来历
,
到底哪个控制权限啊,如果我给level-3禁止很多命令,但是我还有一个权限user-role network-operator,我还是最大权限啊,
v7版本默认有network-operator、network-admin、0-15、security-audit
network-admin
可操作系统所有功能和资源(除安全日志文件管理相关命令display security-logfile summary、info-center security-logfile directory、security-logfile save之外)
network-operator
可执行系统所有功能和资源的相关display命令(除display history-command all、display security-logfile summary等命令,具体请通过display role命令查看)
如果用户采用本地认证方式登录系统并被授予该角色,则可以修改自己的密码
可执行进入XML视图的命令
可允许用户操作所有读类型的XML元素
可允许用户操作所有读类型的OID
level-n (n = 0~15)
level-0:可执行命令ping、quit、ssh2、super、system-view、telnet和tracert,且管理员可以为其配置权限
level-1:具有level-0用户角色的权限,并且可执行系统所有功能和资源的相关display命令(除display history-command all之外),以及管理员可以为其配置权限
level-2~level-8和level-10~level-14:无缺省权限,需要管理员为其配置权限
level-9:可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能操作display history-command all命令、RBAC的命令(Debug命令除外)、文件管理、设备管理以及本地用户特性。对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码。
level-15:具有与network-admin角色相同的权限。
security-audit
安全日志管理员,仅具有安全日志文件的读、写、执行权限,具体如下:
可执行安全日志文件管理相关的命令(display security-logfile summary、info-center security-logfile directory、security-logfile save)。安全日志文件管理相关命令的介绍,请参见“网络管理与监控”中的“信息中心”
可执行安全日志文件操作相关的命令,例如more显示安全日志文件内容;dir、mkdir操作安全日志文件目录等,具体命令的介绍请参见“基础配置命令参考”中的“文件系统管理”
以上权限,仅安全日志管理员角色独有,其它任何角色均不具备,且即使在其它用户角色中配置了以上权限,也不生效
暂无评论
S12508G-AF Comware V7 权限完整讲解
一、两个权限体系来历(核心区别)
1. level-N 级别权限(继承 V5 老体系)
- 来源:老款 Comware V5 五级权限
- level-0:访问级
- level-1:监控级
- level-2:配置级
- level-3:管理级(V5 最高权限)
- 作用:适配老旧命令行分级权限,用来限制传统 CLI 命令执行权限
- 特点:只能做粗粒度命令分级,管控范围老旧、规则简单
2. user-role 角色权限(V7 全新原生权限体系)
- network-admin:最高超级管理员,全权限无任何限制
- network-operator:运维操作员,仅查看、简单操作,无配置删除权限
- level-x 只是兼容角色,优先级低于原生角色
二、权限优先级(最重要)
- 账号同时配置:
level-3+network-admin+network-operator最终生效 = 权限最大的那个:network-admin - 你哪怕把
level-3禁满所有命令,只要带 network-admin所有限制全部失效,依旧最高权限
三、你现场问题直接解答
我给 level-3 禁止很多命令,但是还有 network-operator/admin,还是最大权限完全正确!
- level 只是兼容摆设
- network-admin 是 V7 实权最高角色,无视 level 所有限制
- 多角色共存:取权限最大值
四、三者实际权限划分
- network-admin(实权最大)所有配置、删除、重启、格式化、系统升级、业务全放开,无任何限制
- level-3(老最高)V5 时代最高,V7 里被原生角色覆盖压制
- network-operator仅查看 display、ping、telnet,不能修改业务配置
五、正确规范配置写法
1. 超级管理员(全权限)
local-user admin class manage
password hash xxx
service-type all
authorization-attribute user-role network-admin
2. 运维只读账号
local-user view class manage
authorization-attribute user-role network-operator
3. 想用 level 分级管控(禁用高权限)
local-user test class manage
authorization-attribute user-role level-2
六、总结一句话
- level 是 V5 老古董兼容权限
- network-admin/operator 是 V7 正统实权角色
- 混合配置以最大角色为准,admin 权限碾压一切 level 限制
- 做权限管控:要么纯角色、要么纯 level,不要混用
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论