交换机的账号权限问题
- 0关注
- 0收藏,89浏览
问题描述:
H3C S5800
版本号:version 5.20, Release 1110P05
local-user trqtrq
password cipher J16`%AS%/CY./a!1$H@GYA!!
authorization-attribute level 1
service-type telnet terminal
问题:level 0-3 这4个级别的权限如何使用
我设置为 authorization-attribute level 1 权限为1,不能输入display current-configuration这个命令查看配置,
设置为权限为2的话,就可以对设备进行配置了,
应该如何设置一个账号的权限,能查看display current-configuration ,但是不能对设备进行配置?
组网及组网描述:
H3C S5800
版本号:version 5.20, Release 1110P05
local-user trqtrq
password cipher J16`%AS%/CY./a!1$H@GYA!!
authorization-attribute level 1
service-type telnet terminal
我设置为 authorization-attribute level 1 权限为1,不能输入display current-configuration这个命令查看配置,
设置为权限为2的话,就可以对设备进行配置了,
应该如何设置一个账号的权限,能查看display current-configuration ,但是不能对设备进行配置?
display current-configuration命令的级别,使其适配 level1 权限,同时保留配置类命令的高级别限制。以下是具体原理和操作步骤:先明确 H3C 交换机 0 - 3 级权限默认规则
authorization-attribute level0 - 3 级默认权限划分如下,这也是你遇到问题的核心原因:| 权限级别 | 名称 | 默认可执行操作 | 你的使用痛点 |
|---|---|---|---|
| level 0 | 访问级 | 基础测试命令(如 ping、telnet),无任何查看 / 配置权限 | 权限过低,无实用价值 |
| level 1 | 监控级 | 部分简单 display 命令(如 display version),默认不含display current-configuration | 无法查看完整配置 |
| level 2 | 系统级 | 大部分配置命令(如进入系统视图、配置端口)+ 多数 display 命令 | 权限过高,可修改设备配置 |
| level 3 | 管理级 | 所有命令(含重启、恢复出厂等高危操作) | 权限最高,风险极大 |
display current-configuration命令的执行级别下调至 level1,即可让 level1 账号使用该命令,同时禁止其执行配置类操作。具体配置步骤
display current-configuration命令的级别至 level1,步骤如下(需用 level3 权限账号登录操作):- 登录设备并进入特权模式用管理员账号登录交换机,输入
system-view进入系统视图:<H3C> system-view //进入系统视图 [H3C] - 调整目标命令的执行级别通过
command-privilege命令,将display current-configuration的级别改为 1,且确保该命令在用户视图(user-view)即可执行(无需进入系统视图),命令如下:[H3C] command-privilege level 1 view user-view display current-configuration- 命令解析:
level 1指定命令适配 level1 权限;view user-view指定命令在用户视图即可执行;display current-configuration为目标调整命令。
- 命令解析:
- 配置 / 修改目标账号为 level1 权限若已创建
trqtrq账号,直接修改权限;若未创建则新建,命令如下://进入本地用户视图 [H3C] local-user trqtrq // 确认密码(保持你原有的密文密码,或重新设置) [H3C-luser-trqtrq] password cipher J16`%AS%/CY./a!1$H@GYA!! // 固定权限为level1 [H3C-luser-trqtrq] authorization-attribute level 1 // 限制登录方式为telnet和终端 [H3C-luser-trqtrq] service-type telnet terminal // 退出配置 [H3C-luser-trqtrq] quit - 保存配置避免重启后配置丢失,执行保存命令:
[H3C] save The current configuration will be written to the device. Are you sure? [Y/N]:Y
验证权限效果
trqtrq账号重新登录,测试权限是否符合预期:- 验证可查看配置登录后直接在用户视图执行命令,可正常查看:
<H3C> display current-configuration // 能正常输出完整配置 - 验证不可修改配置尝试执行配置类操作,会提示权限不足,例如:
// 尝试进入系统视图(配置操作的前提),失败 <H3C> system-view % Permission denied. // 尝试修改主机名,失败 <H3C> sysname Test % Unrecognized command found at '^' position. // 本质是无权限执行该级别命令
关键说明
- 此方法仅调整
display current-configuration的级别,其他配置类命令(如system-view、interface等)仍保持 level2 及以上级别,确保 level1 账号无法修改配置。 - 若需让 level1 账号查看其他命令(如
display interface),可按相同格式调整对应命令级别。 - 操作前建议备份当前配置,若误操作可通过备份恢复。
command-privilege level 1 view user-view:将用户视图(user-view)下的命令权限级别设置为 1 级(通常 1 级为最低权限,可执行基础查看命令)。 display current-configuration:在用户视图下查看设备当前运行的配置(即正在生效的配置)。
[H3C] command-privilege level 1 view user-view display current-configuration 这条命令我敲不上去,到user-就只要一个user-interface,没有user-view
command-privilege level 1 view user-view:将用户视图(user-view)下的命令权限级别设置为 1 级(通常 1 级为最低权限,可执行基础查看命令)。 display current-configuration:在用户视图下查看设备当前运行的配置(即正在生效的配置)。
您好,这么做
role name 123
rule 1 permit command display current-configuration
local-user msyk class manage
password hash $h$6$4kmvkRaQaNmJD6Xz$BQvOmFdHoh5hw7K+sgQKyVoYuiKRRfnJIeY5+z+j5IIXatpj7UGUzkzAfJRCBnUl0JE35hLJ3bx8Mq2mFwZeSA==
service-type telnet
authorization-attribute user-role 123
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明