参考：

设置权限：

4.3  配置NETCONF用户属性

1. 配置限制和指导

本文采用新建本地用户介绍配置过程。使用远端认证用户的配置方式请参见具体认证方式的配置指导，只要使通过认证的NETCONF用户满足以下两个条件：

·     使用NETCONF over SSH连接方式时，服务类型为SSH。使用NETCONF over SOAP over HTTP连接方式时，服务类型为HTTP。使用NETCONF over SOAP over HTTPS连接方式时，服务类型为HTTPS。

·     具有所需权限。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     添加设备管理类本地用户，并进入设备管理类本地用户视图。

local-user user-name class manage

(3)     设置本地用户的密码。

（非FIPS模式）

password [ { hash | simple } string ]

（FIPS模式）

password

在非FIPS模式下，可以不为本地用户设置密码；在FIPS模式下，必须且只能通过交互式方式设置明文密码，否则用户的本地认证不能成功。

(4)     设置本地用户可以使用的服务类型。请根据连接方式选择其中一项进行配置

¡     使用NETCONF over SSH连接方式：

service-type ssh

¡     使用NETCONF over SOAP over HTTP或NETCONF over SOAP over HTTPS连接方式：

（非FIPS模式）

service-type { http | https } *

（FIPS模式）

service-type https

缺省情况下，本地用户不能使用任何服务类型。

(5)     设置本地用户的角色。

authorization-attribute user-role role-name

4  在设备上为NETCONF用户设置权限

使用配置工具与设备建立NETCONF连接前，需要确保NETCONF用户具有对应的操作权限。

4.1  确定NETCONF用户需要的权限

在Comware V7系统中，用户的权限通过它所属的角色的权限来控制，角色的权限主要包括规则和资源策略两个方面。

在规则方面，NETCONF用户角色需要如下权限：

·     执行NETCONF操作需要具有执行XML元素NETCONF RPC节点的权限，不同NETCONF操作需要的权限不同，具体请参见表2。

·     执行NETCONF操作内容的权限可以通过用户执行XML元素具体模块及其表的Xpath的权限控制，例如配置用户具有执行XML元素接口模块的权限，需要执行rule number permit read write execute xml-element ifmgr/命令。

在资源策略方面，可以根据实际需要配置用户角色操作接口、VLAN、VPN、安全域的权限。缺省情况下，用户具有操作所有资源的权限。

缺省用户角色network-admin、mdc-admin、context-admin可操作对应设备/MDC/Context的所有功能和资源（除安全日志文件管理相关命令display security-logfile summary、info-center security-logfile directory、security-logfile save之外）的权限，如果用户所属角色是这几种，则不需要进行权限配置，只需要指定用户角色为network-admin、mdc-admin或context-admin即可。

更多关于用户角色权限控制的内容，请参见“基础配置指导”中的“RBAC”。

表2 执行NETCONF操作需要配置的权限