ARM架构IMCv9账号权限位置
- 0关注
- 0收藏,35浏览
问题描述:
请帮忙解答以下问题。
ARM架构IMCv9创建1个级别level-1账号,用于执行存盘并备份配置(命令save、display current-configuration),创建授权命令模板,由账户关联,在华三、华为交换机进行验证,情况如下:
1、华三交换机除H3C5800无法执行上述命令,其他型号设备可以,H3C5800版本为Version 5.20, Release 1810P13。
2、华为交换机大部分在添加了该语句后command-privilege level 1 view shell display current-configuration后,依旧无法实现level-1账号自动执行dis cur和save命令,需要在AAA认证的授权
authorization-scheme内添加level-1账号的授权。
具体为
authorization-scheme vty
authorization-cmd 1 hwtacacs local
问题:华为交换机在3A认证不配置“authorization-cmd 1 hwtacacs local”下,如何设置IMCv9账号相关配置,即可实现level-1账号自动存盘与用户配置备份?
在不配置 authorization-cmd 进行命令行授权的情况下,要仅通过 iMC 让 level-1 账号能自动执行 save 和 display current-configuration,根本原因在于这两条命令的默认级别较高。核心的解决方案,就是在交换机本地开启“允许非系统管理员保存配置”的功能。
下面针对你提到的华为交换机与 H3C 5800 两种情况,详细说明一下。
🔧 华为交换机的完整解决方案
📝 交换机侧关键配置:non-system-admin save enable
华为 VRP 平台出于安全考虑,save 命令在系统视图下的默认级别为 3 级,且缺省时非系统管理员(即 level < 3 的用户)无法执行。因此,想要 level-1 账号也能保存配置,必须在系统视图下全局开启这项能力:
⚙️ 华为交换机基础 AAA 与域配置示例
完成全局开启后,你需要确保 iMC 的授权能顺利下发,一套基础的 AAA 与域配置范例如下:
[Huawei-aaa-authen-default] authentication-mode hwtacacs local
[Huawei-aaa] authorization-scheme default
[Huawei-aaa-author-default] authorization-mode hwtacacs local
[Huawei-aaa] accounting-scheme default
[Huawei-aaa-account-default] accounting-mode hwtacacs
[Huawei-aaa] domain huawei.com
[Huawei-aaa-domain-huawei.com] authentication-scheme default
[Huawei-aaa-domain-huawei.com] authorization-scheme default
[Huawei-aaa-domain-huawei.com] accounting-scheme default
[Huawei-aaa-domain-huawei.com] hwtacacs-server template1
[Huawei] hwtacacs-server template template1
[Huawei-hwtacacs-template1] primary-authentication 192.168.x.x 49
[Huawei-hwtacacs-template1] key authentication cipher YourCipherKey
💻 iMC 侧配置授权命令模板
最后,在 iMC 侧通过授权命令模板来定义账号权限。这是实现 不依赖 authorization-cmd 的最关键步骤:
创建命令集:登录 iMC 管理平台,依次进入
业务>TACACS 管理>命令集,新建一个命令集,在 “允许的命令” 列表中精准添加display current-configuration、save这两条命令。关联用户:为该 level-1 账号关联此命令集,确保 iMC 在用户登录时,直接通过授权回复下发命令权限,无需交换机执行
authorization-cmd检查。
📌 补充说明
命令级别差异与安全考量:
save命令默认级别较高,而display current-configuration在华为设备上属于管理级命令(默认3级),这意味着默认情况下 level-1 的用户无法直接使用。华为的non-system-admin save enable本质上就是通过全局开关绕过了对命令级别的检查,这虽然解决了权限问题,但也意味着任何 level < 3 的用户都可能保存配置,你需要评估这一策略是否符合你内网的管控要求。Comware V5 平台(H3C 5800)的特殊性:H3C 5800 由于采用 Comware V5 平台,可能无法通过以上方法实现同样的效果。你需要检查 Comware V5 平台是否有类似
non-system-admin save enable的全局开关。如果没有,可能需要通过command-privilege level命令手动降低save与display current-configuration的命令级别,但这通常是出于严格的审计与安全隔离考虑,非系统管理员默认不应具有保存权限。
authorization-cmd 1 hwtacacs local 的前提下,仅通过 IMCv9 (ARM) 配置,让 level-1 账号执行 dis cur 和 save),核心结论是:authorization-cmd。一、原理(为什么你现在不行)
- 本地 level-1:默认只有
display部分权限,没有save - TACACS/HWTACACS 认证:
- 若没开 命令授权(authorization-cmd),设备会沿用本地级别权限(level-1 无 save)
- 只有开启命令授权,才会完全信任 IMC 下发的命令权限
authorization-cmd 1 ...二、IMCv9 (ARM) 配置路径(命令授权模板)
1. 进入 EIA/TAM 命令授权配置
iMC 首页 → 用户 → 接入策略管理 → 命令授权管理
iMC 首页 → 业务 → 终端接入管理 → 接入策略 → 命令授权
2. 新建命令集(允许 level-1 执行 save/dis cur)
- 命令集名称:
Level-1-Save-DisCur - 设备类型:Huawei Switch
- 命令行匹配规则(精确 / 前缀):plaintext
# 允许查看当前配置 display current-configuration # 允许保存配置(含所有save变种) save save force - 权限:允许(Permit)
- 级别:1(与账号 level-1 对应)
3. 接入策略绑定命令集
- 进入你的 接入策略(如:level-1-acl-strategy)
- 命令授权 → 选择上面创建的
Level-1-Save-DisCur - 用户级别 / 优先级:1
- 关联到 账号 / 账号组
4. 确认 TACACS(HWTACACS)方案
- iMC → 用户 → 接入策略管理 → TACACS 方案
- 确认你的 HWTACACS 方案已开启 命令授权(默认开启)
三、华为交换机关键配置(替代 authorization-cmd)
1. 核心:让命令授权跟随认证方案
system-view
aaa
# 1. 新建/使用已有的域(如:isp1)
domain isp1
# 关键:认证+授权都走hwtacacs,授权跟随认证,自动生效
authentication-scheme hwtacacs
authorization-scheme hwtacacs
accounting-scheme hwtacacs
# 2. 设为默认域(所有用户走此域)
domain default enable isp1
2. HWTACACS 授权方案(自动继承级别)
# 授权方案(与认证同名即可,无需单独指定level)
authorization-scheme hwtacacs
authorization-mode hwtacacs local # 优先服务器授权,失败本地
3. VTY 绑定 AAA(必须)
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
4. 本地级别仅作兜底(可保留)
aaa
local-user backup level 1
local-user backup service-type ssh
四、为什么这样可行(原理)
- 域级授权(domain):只要域下配置
authorization-scheme hwtacacs,所有级别(1~15)的命令授权自动走服务器 - 无需 authorization-cmd 1:
authorization-cmd level是旧版 / 单独指定级别,域级授权是全局覆盖,更简洁 - IMC 命令集优先级最高:IMC 下发
save/dis cur允许 → 覆盖本地 level-1 限制
五、华三 S5800 V5 (Version 5.20, 1810P13) 不生效原因
- H3C V5 对 TACACS 命令授权支持弱
- level-1 默认 无 save 权限,且服务器下发无法覆盖本地级别限制
- 解决(V5 必配):plaintext
# 设备本地强制放开level-1的save/dis cur command-privilege level 1 view shell save command-privilege level 1 view shell display current-configuration
六、最终验证(IMC + 华为)
- 用 level-1 账号 SSH 登录华为交换机
- 执行:plaintext
display current-configuration save save force - 均成功 → 生效
七、一句话总结
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论