交换机指定权限
- 0关注
- 1收藏,1328浏览
问题描述:
在具在具体使用中,如果我们有多个管理员帐号,但只允许某一个管理员保存系统配置,则可以将save命令的级别提高到4级,并定义只有该管理员有4级权限。这样,在不影响其他用户的情况下,可以实现对命令的使用控制。command-privilege level 3 view user save(这个是huawei的)
H3C有相同的意义上的配置,需要怎么配置
组网及组网描述:
- 2021-08-25提问
- 举报
-
(0)
最佳答案
可参考如下配置举例:
2. 组网需求
如图6所示,为了加强用户登录的安全性,要求用户在登录Switch时需要输入正确的密码才能登录成功。Telnet用户具有如下权限需求如下:
· 允许执行所有以display开头的命令。
· 允许执行创建VLAN以及进入VLAN视图后的相关命令,并只具有操作VLAN 10~VLAN 20的权限。
· 允许执行进入接口视图后的相关命令,并只具有操作接口Ten-GigabitEthernet1/0/10~Ten-GigabitEthernet1/0/20、Vlan-Interface10~Vlan-Interface16的权限。
图6 Telnet用户本地认证/授权配置组网图
3. 配置思路
· 缺省情况下,设备的Telnet服务处于关闭状态,在本例中需要开启设备的Telnet服务。
· 缺省情况下,VTY用户界面的认证方式为password,实际应用中可以直接设置用户的登录密码。
· 创建用户角色role1,并对Telnet用户授予该用户角色。
· 通过配置用户角色规则,限定Telnet用户可以执行的命令。
· 通过配置VLAN资源控制策略,限定Telnet用户可以操作的VLAN。
· 通过配置接口资源控制策略,限定Telnet用户可以操作的接口。
· 通过删除用户具有的缺省用户角色,确保Telnet用户仅使用授权的用户角色role1。
4. 配置注意事项
· 创建用户角色规则时,如果指定的规则编号不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
5. 配置步骤
(1) 按照图6所示配置Switch的IP地址,并确保Telnet用户与Switch间路由可达
(2) 配置Telnet用户登录Switch的认证方式,详情请参见1.2.2 配置Telnet用户采用密码认证登录设备举例
(3) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
<Switch> system-view
[Switch] role name role1
# 配置用户角色规则1,允许用户执行所有以display开头的命令。
[Switch-role-role1] rule 1 permit command display *
# 配置用户角色规则2,允许用户执行创建VLAN以及进入VLAN视图后的相关命令。
[Switch-role-role1] rule 2 permit command system-view ; vlan *
# 配置用户角色规则3,允许用户执行进入接口视图后的相关命令。
[Switch-role-role1] rule 3 permit command system-view ; interface *
(4) 为用户角色role1配置VLAN资源控制策略
# 进入用户角色VLAN策略视图,配置允许用户具有操作VLAN 10~VLAN 20的权限。
[Switch-role-role1] vlan policy deny
[Switch-role-role1-vlanpolicy] permit vlan 10 to 20
[Switch-role-role1-vlanpolicy] quit
(5) 为用户角色role1配置接口资源控制策略
# 进入用户角色接口策略视图,配置允许用户具有操作接口Ten-GigabitEthernet1/0/10~Ten-GigabitEthernet1/0/20、Vlan-Interface10~Vlan-Interface16的权限。
[Switch-role-role1] interface policy deny
[Switch-role-role1-ifpolicy] permit interface ten-gigabitethernet 1/0/10 to ten-gigabitethernet 1/0/20
[Switch-role-role1-ifpolicy] permit interface vlan-interface 10 to vlan-interface 16
[Switch-role-role1-ifpolicy] quit
[Switch-role-role1] quit
(6) 为Telnet用户配置授权的用户角色
# 为从VTY用户界面登录设备的用户配置授权的用户角色role1。
[Switch] user-interface vty 0 15
[Switch-ui-vty0-15] user-role role1
# 为保证Telnet用户仅使用授权的用户角色role1,删除VTY用户界面的缺省用户角色network-operator。
[Switch-ui-vty0-15] undo user-role network-operator
[Switch-ui-vty0-15] quit
- 2021-08-25回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论