需求:需要配置新建一个本地TELNET登陆用户,放通所有的权限 ,但是不能修改admin用户信息(包括密码与服务类型)
参考官网配置 RBAC
1、配置role 先deny 进入 local-user admin ,再permit all
#
role name test
rule 1 deny command system-view ; local-user admin *
rule 2 permit command system-view ; *
#
2、测试用户调用该role
#
local-user test class manage
password simple 111111
service-type telnet
authorization-attribute user-role test
authorization-attribute user-role network-operator
#
3、测试登陆去做修改admin和新建其他用户均不行?难道是配置错误了?
查看官网:http://www.h3c.com/cn/d_201903/1159172_30005_0.htm#_Toc535515029
在所有系统预定义的用户角色当中,仅network-admin或者level-15角色的用户具有执行创建/修改/删除本地用户和本地用户组的权限。其它角色的用户,即使被授权对本地用户和本地用户组的操作权限,也仅仅具有修改自身密码的权限,没有除此之外的对本地用户和本地用户组的任何操作权限。
因此 rule 1 是不生效的 ,自定义用户本来就无法赋予修改和创建其他用户的权限
正确配置:
#
role name test
rule 2 permit command system-view ; *
#
local-user test class manage
password simple 111111
service-type telnet
authorization-attribute user-role test
authorization-attribute user-role network-operator
#
1、对于命令的放通 需要使用通配符,注意格式的正确性
2、该用户需要允许执行全部命令权限,缺省的 network-operator不要删除,删除后 就无权限执行命令了
3、在所有系统预定义的用户角色当中,仅network-admin或者level-15角色的用户具有执行创建/修改/删除本地用户和本地用户组的权限。其它角色的用户,即使被授权对本地用户和本地用户组的操作权限,也仅仅具有修改自身密码的权限,没有除此之外的对本地用户和本地用户组的任何操作权限。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作