用户分级
- 0关注
- 1收藏,1356浏览
问题描述:
如何设置账户权限只允许执行某条命令,以下内容不生效
role name guest
rule 2 permit command system-view;*
rule 3 permit command arp static;* # 只给用户这条命令权限
rule 4 permit command dis;*
组网及组网描述:
设备型号
S5130S-52S-EI
- 2022-07-11提问
- 举报
-
(0)
您好,参考
可以针对用户设置级别及命令级别,以下是级别的清单,请参考:
1.11 配置用户级别和命令级别
1.11.1 级别简介
为了限制不同用户对设备的访问权限,系统对用户进行了分级管理。用户的级别与命令级别对应,不同级别的用户登录后,只能使用等于或低于自己级别的命令。
命令的级别由低到高分为访问级、监控级、系统级和管理级四种,分别对应级别值0、1、2、3。详细介绍请见表1-16。
级别值 | 级别名称 | 描述 |
0 | 访问级 | 用于网络诊断等功能的命令、从本设备出发访问外部设备的命令。该级别命令配置后不允许保存,设备重启后,该级别命令会恢复到缺省状态 缺省情况下,访问级的命令包括:ping、tracert、telnet、ssh2等 |
1 | 监控级 | 用于系统维护、业务故障诊断等功能的命令。该级别命令配置后不允许保存,设备重启后,该级别命令会恢复到缺省状态 缺省情况下,监控级的命令包括:debugging、terminal、refresh、send等 |
2 | 系统级 | 业务配置命令,包括路由、各个网络层次的命令,这些命令用于向用户提供直接网络服务 缺省情况下,系统级的命令包括:所有配置命令(管理级的命令除外) |
3 | 管理级 | 关系到系统的基本运行、系统支撑模块功能的命令,这些命令对业务提供支撑作用 缺省情况下,管理级的命令包括:文件系统命令、FTP命令、TFTP命令、XModem命令下载、用户管理命令、级别设置命令、系统内部参数设置命令(非协议规定、非RFC规定)等 |
可参考如下配置举例:
1.11.2 配置用户级别
用户级别可以通过AAA认证参数或者用户界面来配置:
1. 通过AAA认证参数配置用户级别
如果用户登录时使用的用户界面的认证方式为scheme,并且用户登录时需要输入用户名和密码,则用户级别以及用户可使用的命令,在配置AAA认证时指定。
表1-17 通过AAA认证参数配置用户级别
操作 | 命令 | 说明 | |
进入系统视图 | system-view | - | |
进入用户界面视图 | user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } | - | |
设置登录用户界面的认证方式为scheme | authentication-mode scheme | 必选 缺省情况下,VTY、AUX用户界面认证方式为password,Console用户界面不需要认证 | |
退回系统视图 | quit | - | |
配置SSH用户的认证方式为password方式 | 相关内容请参见“安全配置指导”中的“SSH” | 如果用户使用SSH方式登录,并且认证时要求输入用户名和密码,则该步骤必选 | |
通过认证参数设置用户的级别 | 使用本地认证时 | · 使用local-user命令创建本地用户并进入本地用户视图 · 使用authorization-attribute命令的level参数配置用户本身的级别 | 二者必选其一 使用本地认证时,如果没有配置用户级别,则用户级别为0,即只能使用0级别的命令 使用远程认证时,如果没有配置用户级别,则用户级别由认证服务器的缺省配置决定 |
使用远程认证(RADIUS认证、HWTACACS认证及LDAP认证)时 | 在认证服务器上进行配置 | ||
· 关于用户界面的介绍请参见“基础配置指导”中的“登录设备”。有关user-interface、authentication-mode、user privilege level命令的介绍请参见“基础配置命令参考”中的“登录设备”。
· 有关AAA认证的介绍请参见“安全配置指导”中的“AAA”。local-user和authorization-attribute命令的介绍请参见“安全命令参考”中的“AAA”。
· 有关SSH的介绍请参见“安全配置指导”中的“SSH”。
2. 通过AAA认证参数配置用户级别举例
# 设置使用VTY 1的Telnet用户登录设备时,需要本地验证用户名和密码,用户级别为3。
<Sysname> system-view
[Sysname] user-interface vty 1
[Sysname-ui-vty1] authentication-mode scheme
[Sysname-ui-vty1] quit
[Sysname] local-user test
[Sysname-luser-test] password simple 123
[Sysname-luser-test] service-type telnet
通过以上配置,用户使用VTY 1 Telnet登录设备时,需要输入用户名test,密码123,认证通过后只能使用级别为0的命令,想要使用级别为0、1、2、3的命令还需要配置:
[Sysname-luser-test] authorization-attribute level 3
3. 通过用户界面配置用户级别
· 如果用户登录时使用的用户界面的认证方式为scheme,而且是SSH的publickey认证方式时(该方式只需要输入用户名,不需要输入密码),则用户级别等于用户界面的级别;
· 如果用户登录时使用的用户界面的认证方式为none或者password(即不需要输入用户名),用户级别也等于用户界面的级别。
表1-18 通过用户界面配置用户级别(SSH的publickey认证方式)
操作 | 命令 | 说明 |
配置SSH用户的认证方式为publickey方式 | 相关内容请参见“安全配置指导”中的“SSH” | 如果用户使用SSH方式登录,并且认证时只要输入用户名,不用输入密码,则该步骤必选 配置该步骤后,相应的用户界面的认证方式必须设置为scheme |
进入系统视图 | system-view | - |
进入用户界面视图 | user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] } | - |
设置用户使用当前用户界面登录设备时的认证方式 | authentication-mode scheme | 必选 缺省情况下,VTY、AUX用户界面认证方式为password,Console用户界面不需要认证 |
配置从当前用户界面登录系统的用户的级别 | user privilege level level | 可选 缺省情况下,通过Console口登录系统的用户级别是3,通过其它用户界面登录系统的用户级别是0 |
表1-19 通过用户界面配置用户级别(none或者password认证方式)
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入用户界面视图 | user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } | - |
设置用户使用当前用户界面登录设备时的认证方式 | authentication-mode { none | password } | 可选 缺省情况下,VTY、AUX用户界面认证方式为password,Console用户界面不需要认证 |
配置从当前用户界面登录系统的用户的级别 | user privilege level level | 可选 缺省情况下,通过Console口登录系统的用户级别是3,通过其它用户界面登录系统的用户级别是0 |
- 2022-07-11回答
- 评论(1)
- 举报
-
(0)
您好 如何自定义设置 如我提问
role name user1
rule 1 permit read feature
rule 2 permit command arp *
rule 3 permit command system-view;arp *
local-user user1 class manage
password hash $h$6$ECPyAymxPxcNXfzw$6XFMr3coEAc6QcFXY5vUd5JOfIX+srNWEDt4pEr570OeI2cBd1MdYq6GzzfALGgWATpwoZbllriJqhk0Eq8dtA==
service-type ssh
authorization-attribute user-role user1
- 2022-07-25回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
本地