华三交换机管理员和只读权限混用导致无法配置怎么处理
- 0关注
- 0收藏,42浏览
你遇到的“权限混用”问题,根源在于 Comware V7 系统的 RBAC(基于角色的访问控制)机制。
当一个用户被赋予不同的角色时,系统会合并所有角色的权限。如果同时赋予一个用户最高权限 network-admin 和只读权限 network-operator,虽然系统意图是赋予管理员权限,但这种组合可能导致某些特定环境下的预期之外的行为,例如在某些配置场景下,系统权限判断出现冲突,最终表现为“无法配置”或特定命令被拒绝执行。
要解决这一问题,可以按照以下步骤进行操作。务必按顺序执行,以避免操作失误。
Step 1: 定位问题根源
登录到交换机,执行以下命令,检查当前用户被授予了哪些角色(User Role):
authorization-attribute user-role 的部分。如果看到类似 network-admin 和 network-operator 同时存在,就确认了权限混用的问题。Step 2: 修正用户权限(使用辅助账户)
重要:为了安全地移除权限,必须使用一个拥有完整 network-admin 权限的第二个账户登录进行操作。如果只有一个 network-admin 账户设置了混乱的权限,请先创建一个临时的高权限账户。
使用高权限账户登录后,进入系统视图:
[H3C]<H3C> system-view进入需要修改的用户视图:
以用户名为
admin为例,请替换为你实际的用户名。[H3C-luser-manage-admin][H3C] local-user admin class manage撤销错误的权限:
使用
undo命令移除network-operator只读角色:[H3C-luser-manage-admin] undo authorization-attribute user-role network-operator或者,如果确定要保留
network-admin角色,也可以通过undo移除多余的network-operator。
确保必要的角色和权限:
如果意外移除了
network-admin角色,需要重新授:[H3C-luser-manage-admin] authorization-attribute user-role network-admin确保用户的服务类型(如 SSH、HTTP、HTTPS 等)正确配置,这样可以避免因服务限制而无法登录的问题:
[H3C-luser-manage-admin] service-type ssh http https
验证并保存:
检查当前用户的权限:
[H3C-luser-manage-admin] display this确认无误后,保存配置:
[H3C-luser-manage-admin] save force
Step 3: 验证修正结果
配置生效后,进行最终验证:
登出当前会话:先退出当前用户的命令行界面。
重新登录:使用该账户重新登录交换机。
测试配置命令:执行一个如创建 VLAN 的配置命令,确认现在可以正常执行。
[H3C] vlan 2 [H3C-vlan2] quit<H3C> system-view
暂无评论
H3C S5130 V7 管理员 / 只读账号权限混乱、登录后无法配置 完美解决方法
现象原因
- 登录账号被绑定只读角色 / 低级别
- 即使是 admin 账号,权限被 AAA 覆盖
- 能登录、能看配置,不能敲 system-view、不能保存、不能修改任何配置
方案一:Console 本地绕过 AAA 特权登录(首选,不用删配置)
- 插Console 线重启交换机
- 开机立刻按 Ctrl+B 进入 BootWare
- 选择 跳过配置文件启动 / Ignore configuration file
- 设备以出厂空配置启动
- 启动后进入命令行,此时是最高管理员权限
- 执行:
# 把原有配置导入生效
save
# 恢复启动配置为原配置文件
startup saved-configuration startup.cfg
- 重启设备,正常进系统,权限已重置,可重新梳理 AAA 账号权限
方案二:不重启,Console 登录直接清空 AAA 权限配置
system-view
undo aaa
undo local-user all
undo user-role all
方案三:修复现有账号权限(保留原有账号,推荐)
# 1. 进入本地用户
local-user admin
# 设置权限级别最高
authorization-attribute level 15
# 绑定管理员角色
user-role network-admin
# 关闭闲置断开、保证权限不被降级
idle-timeout 0
关键两条命令(治好只读不能配置)
user-role network-admin
authorization-attribute level 15
network-admin:系统最高管理员角色- level 15:最高操作级别,可配置、可保存、可刷策略
四、为什么会变成只读无法配置
- 新建普通用户没配 level 15 和 network-admin
- AAA 方案里授权了 network-operator 只读角色
- 远程登录(SSH/Telnet)被 AAA 下发低权限,覆盖本地账号
- V7 版本角色优先级高于本地用户配置,混用直接锁死配置权限
五、预防以后再出问题
local-user admin class manage
password simple 123456
service-type ssh telnet terminal
user-role network-admin
authorization-attribute level 15
idle-timeout 0
最简总结
- 能 Console 就清 AAA / 重置账号级别到 15 + 绑 network-admin;
- 进不去配置就 BootWare 跳过配置启动 救回;
- 以后管理员账号必须配:level 15 + network-admin,不要混用只读角色。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论