没有这个命令 啊
https://www.h3c.com/cn/d_201708/1022686_30005_0.htm#_Toc490128234
level-n (n = 0~15) | · level-0:可执行命令ping、quit、ssh2、super、system-view、telnet和tracert,且管理员可以为其配置权限 · level-1:具有level-0用户角色的权限,并且可执行系统所有功能和资源的相关display命令(除display history-command all之外),以及管理员可以为其配置权限 · level-2~level-8和level-10~level-14:无缺省权限,需要管理员为其配置权限 · level-9:可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能操作display history-command all命令、RBAC的命令(Debug命令除外)、文件管理、设备管理以及本地用户特性。对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码。 · level-15:具有与network-admin角色相同的权限。 |
好的,为华三S6520C系列交换机配置“三权分立”是满足网络安全等级保护(等保)或其他安全合规性要求的关键步骤。其核心思想是将超级管理员(super-admin)的权限拆分为三个相互独立、相互制约的角色:
- 系统管理员:负责系统配置、资源管理、日常维护。
- 安全管理员:负责安全策略、认证授权、安全审计开关。
- 审计管理员:负责日志审查、行为监督,无权进行任何配置操作。
以下是详细的配置步骤、方案和注意事项。
第一部分:核心思路与规划
在配置前,必须先规划好:
- 角色定义:明确每个角色的具体权限边界。
- 认证方式:优先使用 AAA远程认证(如RADIUS/TACACS+服务器),将用户账号、角色、权限集中在服务器上管理。本地账号仅作为应急备用。
- 权限最小化:遵循最小权限原则,只授予完成职责所必需的命令权限。
典型权限划分表:
角色 | 权限等级 | 主要职责 | 关键权限 | 禁止权限 |
|---|---|---|---|---|
系统管理员 (sys-admin) | level-3/network-admin | 系统运维、业务配置 | VLAN,接口,路由,SNMP,软件升级等 | 用户密码、日志删除、安全策略 |
安全管理员 (sec-admin) | level-3/network-admin | 安全管理、策略制定 | AAA,密码策略,ACL,防火墙策略,端口安全等 | 业务配置、日志删除 |
审计管理员 (audit-admin) | level-2/network-operator | 日志审计、行为监督 | 查看所有配置、系统状态、日志文件 | 任何 configure terminal(配置)权限 |
第二部分:详细配置步骤(以CLI命令行界面为例)
假设:我们将通过本地用户与RBAC角色绑定的方式实现。这是基础且必要的一步,即使使用远程AAA,服务器下发的角色也需与本地定义的角色规则对应。
步骤1:创建自定义用户角色并分配权限
这是最关键的一步,通过创建规则来精细化控制每个角色能执行的命令。
system-view
# 1. 创建“系统管理员”角色规则
role name sys-admin
# 允许所有read-view(显示)命令
rule 1 permit read-view
# 允许进入系统视图及以下配置
rule 2 permit execute view system
# 允许接口、VLAN、路由等配置(按需细化,此处示例允许所有配置视图,但通过后续拒绝规则限制)
rule 3 permit write
# 但明确拒绝操作安全相关命令(将这些权限分离给安全管理员)
rule 4 deny command system-view ; user-interface *
rule 5 deny command system-view ; local-user *
rule 6 deny command system-view ; aaa *
rule 7 deny command system-view ; info-center *
rule 8 deny command system-view ; display history-command all
rule 9 deny command system-view ; reset logbuffer
quit
# 2. 创建“安全管理员”角色规则
role name sec-admin
rule 1 permit read-view
rule 2 permit execute view system
# 明确允许操作AAA、用户、日志开关等安全命令
rule 3 permit command system-view ; user-interface *
rule 4 permit command system-view ; local-user *
rule 5 permit command system-view ; aaa *
rule 6 permit command system-view ; info-center *
# 允许配置ACL、密码策略等
rule 7 permit command system-view ; security
rule 8 permit command system-view ; acl *
# 但拒绝业务配置(如接口IP、路由)
rule 9 deny command system-view ; interface * ; ip address *
rule 10 deny command system-view ; ip route-static *
quit
# 3. 创建“审计管理员”角色规则
role name audit-admin
# 审计员只有“读”权限,可以查看所有信息,但绝对不能修改
rule 1 permit read-view
# 可以执行 `display`、`show`、`dir` 等所有查看命令
# 拒绝进入系统视图进行任何配置
rule 2 deny write
# 特别注意:审计员需要能查看所有日志,包括操作日志
rule 3 permit command system-view ; display history-command all
rule 4 permit command dir
rule 5 permit command more
quit
步骤2:创建本地用户并绑定角色
创建三个本地用户,分别绑定到对应的角色。务必使用强密码。
# 创建系统管理员本地用户 sysadmin
local-user sysadmin class manage
password irreversible-cipher YourStrongPassw0rd!@# # 请修改为强密码
service-type ssh terminal http https
authorization-attribute user-role sys-admin network-operator
# authorization-attribute user-role network-operator # 可添加基础角色
quit
# 创建安全管理员本地用户 secadmin
local-user secadmin class manage
password irreversible-cipher YourStrongPassw0rd!@#456
service-type ssh terminal
authorization-attribute user-role sec-admin network-operator
quit
# 创建审计管理员本地用户 auditadmin
local-user auditadmin class manage
password irreversible-cipher YourStrongPassw0rd!@#789
service-type ssh terminal
authorization-attribute user-role audit-admin network-operator
quit步骤3:(强推荐)配置AAA远程认证与授权
这是最佳实践,将用户认证和角色授权集中到服务器(如Cisco ISE, FreeRADIUS等)。
# 启用AAA
aaa
# 配置认证方案,优先远程,失败后本地
authentication-scheme default-scheme
authentication-mode local
quit
# 配置授权方案,优先远程
authorization-scheme default-scheme
authorization-mode local
quit
# 配置计费方案(用于记录用户登录行为)
accounting-scheme default-scheme
accounting-mode none
quit
# 配置HWTACACS服务器(以HWTACACS为例,RADIUS类似)
hwtacacs scheme h3c-tacacs
primary-server 10.1.1.100 # 主服务器IP
key simple Shared_Key_123 # 共享密钥
quit
# 创建ISP域,应用以上方案
domain h3c.com
authentication default hwtacacs-scheme h3c-tacacs local
authorization default hwtacacs-scheme h3c-tacacs local
accounting default hwtacacs-scheme h3c-tacacs
quit
quit
# 在用户线(如VTY)下应用认证域
user-interface vty 0 4
authentication-mode scheme
protocol inbound ssh
user-role network-admin
quit
line con 0
authentication-mode scheme
quit在TACACS+服务器上,需要为
sysadmin, secadmin, auditadmin用户分别配置属性,下发对应的自定义角色(sys-admin, sec-admin, audit-admin)。步骤4:配置日志与审计功能
确保所有操作可追溯,特别是审计员有权查看全部日志。
# 启用信息中心
info-center enable
info-center loghost source Vlan-interface1 # 指定日志源
info-center loghost 10.1.1.200 # 日志服务器地址
info-center loghost facility local6
info-center loghost level informational
# 开启命令审计(记录所有用户在设备上执行的命令)
info-center command-logging enable
userlog command-logging enable
# 确保日志缓冲区足够大,并允许审计员访问
info-center logbuffer size 1024步骤5:配置超级管理员应急账户
保留一个超级管理员账户,但将其密码封存,仅在极端情况下使用。
local-user superadmin class manage
password irreversible-cipher YourSuperStrongEmergencyPass!@#$%
service-type ssh terminal
authorization-attribute user-role network-admin
state block # !!!关键:平时禁用此账户!!!
quit第三部分:验证与测试
- 系统管理员测试:
ssh sysadmin@switch-ip # 输入密码 <H3C> system-view [H3C] sysname TEST-SW [H3C-TEST-SW] vlan 100 # 应该成功 [H3C-TEST-SW] local-user testuser # 应该被拒绝 - 安全管理员测试:
ssh secadmin@switch-ip <H3C> system-view [H3C] aaa [H3C-aaa] local-user testuser password ... # 应该成功 [H3C] interface gi 1/0/1 [H3C-GigabitEthernet1/0/1] ip address 1.1.1.1 24 # 应该被拒绝 - 审计管理员测试:
ssh auditadmin@switch-ip <H3C> display current-configuration # 应该成功 <H3C> display history-command all # 应该成功 <H3C> system-view # 应该失败,提示权限不足
第四部分:关键注意事项与建议
- 权限设计先行:务必根据本单位实际运维流程细化
role rule列表,上述规则仅为示例。 - 远程认证为核心:强烈建议使用TACACS+或RADIUS服务器集中管理用户和角色,实现真正的账号可追溯、可回收。本地用户仅为“断网”等极端情况备用。
- 应急流程:明确启用封存的
superadmin账户的审批和操作流程,并做记录。 - 日志外发:确保将日志发送到独立的Syslog服务器,防止攻击者篡改或删除设备本地日志。这是审计有效性的基础。
- 版本差异:不同版本的Comware V7软件,
role规则的命令格式可能有细微差别。请以您设备实际版本的官方配置指南为准。 - 保存配置:所有配置完成后,务必
save force。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论