H3C SecPath 防火墙 F1080 如何自定义添加低级别账号权限的命令
- 0关注
- 0收藏,515浏览
问题描述:
类似”command-privilege level 1 view shell display current-configuration”这种,给低级别账号添加 display current-configuration命令,让1级账号可以使用dis cu 命令查看配置
目前H3C SecPath 防火墙 F1080 上敲command-privilege提示没有这条命令
组网及组网描述:
- 2023-09-06提问
- 举报
-
(0)
最佳答案
参考
配置用户角色规则
1. 功能简介
一个用户角色中可以包含多条用户角色规则,每条规则定义了是允许或禁止用户对某命令、特性、特性组、Web菜单、XML元素或者OID进行操作。
· 基于非OID的规则匹配
¡ 一个用户角色中可以定义多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则中定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,角色中存在“rule 1 permit command ping”,“rule 2 permit command tracert”和“rule 3 deny command ping”,其中rule 1和rule 3冲突,规则编号大的rule 3生效,匹配的结果为用户禁止执行ping命令,允许执行tracert命令。
¡ 同时存在系统预定义规则和自定义规则的用户角色时,若预定义规则定义的权限内容与自定义规则定义的权限内容有冲突,则以自定义规则为准。
· 基于OID的规则匹配
¡ 与用户访问的OID形成最长匹配的规则生效。例如用户访问的OID为1.3.6.1.6.3.1.1.6.1,角色中存在“rule 1 permit read write oid 1.3.6”,“rule 2 deny read write oid 1.3.6.1.6.3”和“rule 3 permit read write oid 1.3.6.1.6”,其中rule 2与用户访问的OID形成最长匹配,则认为rule 2与OID匹配,匹配的结果为用户的此访问请求被拒绝。
¡ 对于定义的OID长度相同的规则,规则编号大的生效。例如用户访问的OID为1.3.6.1.6.3.1.1.6.1,角色中存在“rule 1 permit read write oid 1.3.6”,“rule 2 deny read write oid 1.3.6.1.6.3”和“rule 3 permit read write oid 1.3.6.1.6.3”,其中rule 2和rule 3与访问的OID形成最长匹配,则rule 3生效,匹配的结果为用户的访问请求被允许。
2. 配置限制和指导
· 仅系统预定义的用户角色network-admin、network-operator、context-admin、context-operator、level-15具有Context特性的相应操作权限,具体请参见“表1-1系统预定义的用户角色名和对应的权限”。其它用户角色视图下,对于Context特性或Context相关命令的配置都无效。
· 只有具有network-admin、context-admin或者level-15用户角色的用户登录设备后才具有如下命令的操作权限,其它系统预定义角色和用户自定义角色不能执行相应的命令。
¡ display history-command all命令。
¡ 以display role、display license、reboot、startup saved-configuration开头的所有命令。
¡ 系统视图下以role、undo role、super、undo super、license、password-recovery、undo password-recovery开头的所有命令。
¡ 系统视图下创建SNMP团体、用户或组的命令:snmp-agent community、snmp-agent usm-user和snmp-agent group。
¡ 用户线视图下以user-role、undo user-role、authentication-mode、undo authentication-mode、set authentication password、undo set authentication password开头的所有命令。
¡ Schedule视图下以user-role、undo user-role开头的所有命令。
¡ CLI监控策略视图下以user-role、undo user-role开头的所有命令。
¡ Event MIB特性中所有类型的命令。
· 每个用户角色中最多可以配置256条规则,系统中的用户角色规则总数不能超过1024。
· 修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
3. 配置步骤
(1) 进入系统视图。
system-view
(2) 进入用户角色视图。
role name role-name
¡ 配置基于命令的规则。
rule number { deny | permit } command command-string
¡ 配置基于特性的规则。
rule number { deny | permit } { execute | read | write } * feature [ feature-name ]
¡ 配置基于特性组的规则。
rule number { deny | permit } { execute | read | write } * feature-group feature-group-name
只有特性组创建后,基于特性组的规则才能生效。
¡ 配置基于Web菜单的规则。
rule number { deny | permit } { execute | read | write } * web-menu [ web-string ]
¡ 配置基于XML元素的规则。
rule number { deny | permit } { execute | read | write } * xml-element [ xml-string ]
¡ 配置基于OID的规则。
rule number { deny | permit } { execute | read | write } * oid oid-string
- 2023-09-06回答
- 评论(1)
- 举报
-
(0)
太给力了,谢谢大佬
第一个admin账号权限,第二个审计用户权限,第三个查看命令权限
#
local-user admin class manage
password simple Admin@312!
service-type ssh terminal https
authorization-attribute user-role network-admin
#
local-user shenji class manage
password simple Sj@123456
service-type ssh https
authorization-attribute user-role security-audit
access-limit 3
#
local-user abc class manage
password simple Hjy@_tj1
service-type ssh https
authorization-attribute user-role network-operator
access-limit 3
- 2023-09-06回答
- 评论(1)
- 举报
-
(0)
已解决,感谢
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
已解决,感谢