问
M9K权限
1天前提问
- 0关注
- 0收藏,97浏览
针对你在新华三 M9K 防火墙上的需求,核心解答如下:
限制必须在根墙(Root System)进行,且无法完全禁止用户进入虚墙的
system-view(系统视图),但可以限制其在系统视图下的具体操作权限。这是因为
context-admin 是 H3C 设备内置的固定权限角色,拥有对虚墙的完全管理权限。只要用户在根墙被分配了 context-admin 角色,他进入虚墙后就会自动继承该角色,从而拥有执行所有 system-view 下命令的权限。要实现你的需求(限制进入虚墙后的操作),需要在根墙上为该 UVB 用户创建一个自定义的权限角色,并分配给该用户,以替代默认的
context-admin。具体配置步骤(在根墙操作)
1. 创建自定义权限角色
你需要创建一个新角色(例如
你需要创建一个新角色(例如
limited-vsys-admin),并只赋予该角色必要的命令权限(例如只允许查看接口状态、查看路由表等),从而排除掉其他危险的系统视图命令。1# 进入系统视图
2system-view
3
4# 创建一个自定义角色,命名为 limited-vsys-admin
5role name limited-vsys-admin
6
7# 授权该角色可以执行的命令(按需添加,这里以只允许查看接口和路由为例)
8# 使用 rule 命令来放行特定的命令。注意:默认情况下自定义角色没有任何权限。
9rule 1 permit command display interface
10rule 2 permit command display ip routing-table
11# 如果需要放行其他查看类命令,继续添加 rule
12# rule 3 permit command display ...
13
14# 退出角色视图
15quit2. 将自定义角色分配给 UVB 用户
在根墙的本地用户配置中,将 UVB 用户的权限从
在根墙的本地用户配置中,将 UVB 用户的权限从
context-admin 修改为你刚刚创建的自定义角色。1# 进入本地用户 UVB 的配置视图
2local-user UVB class manage
3
4# 清除原有的 context-admin 角色(如果设备允许直接覆盖可跳过此步)
5undo authorization-attribute user-role context-admin
6
7# 赋予用户新的受限角色
8authorization-attribute user-role limited-vsys-admin
9
10# 确保该用户的服务类型包含 telnet 或 ssh
11service-type telnet ssh
12
13quit核心原理与注意事项
- 为什么不能在虚墙里限制? 虚墙(Context)是一个逻辑隔离的设备,它只负责管理分配给它的资源(接口、VLAN等)。用户的权限映射和角色定义是在根墙(物理设备)上统一完成的。虚墙内无法感知或修改根墙下发的用户权限。
- 关于
system-view的说明: 在 H3C 的 Comware 系统中,只要用户通过 Console、Telnet 或 SSH 登录设备,进入system-view是进行任何配置(哪怕只是查看某些深层配置)的基础前提。因此,你无法禁止用户敲入system-view命令,但通过上述的自定义角色(role)配置,当该用户进入虚墙的system-view后,如果他尝试执行未被rule permit放行的命令(例如interface、firewall packet-filter等),设备会直接提示权限不足(Permission denied)。 - AAA 方案: 如果你的网络中有 Radius 或 H3C iMC 服务器,建议将权限控制放在 AAA 服务器上统一下发,这样管理会更加灵活和集中。
暂无评论
结论先说:必须在虚墙(目标 Context)里限制,根墙限制无效。原因:M9K 的每个 Context(根墙 / 虚墙)角色库完全隔离、权限规则互不继承;UVB 在根墙是
context-admin,切到虚墙后,权限由虚墙内的同名角色决定H3C。一、原理(为什么根墙没用)
- 根墙(default Context):
context-admin→ 能进系统视图、能切虚墙H3C。 - 虚墙(非 default Context):没有独立的
context-admin角色继承,默认沿用虚墙内的角色规则。 - 关键:用户名全局一致,但角色规则每个墙独立;根墙放行 / 禁止,虚墙不感知。
二、目标:虚墙内禁止 UVB 执行 system-view
思路:
- 根墙:把 UVB 的角色从
context-admin改成自定义角色(如context-lite),保留切虚墙权限,但不继承虚墙默认context-admin。 - 虚墙:创建同名自定义角色,拒绝
system-view命令,只放行业务命令。
1)根墙配置(default Context)
bash
运行
system-view
# 1. 新建自定义角色(替代 context-admin)
role name context-lite
description 仅允许切换虚墙、禁止系统视图
# 允许切换到虚墙
rule 10 permit command switchto context *
# 允许基础查询
rule 20 permit read *
rule 30 permit execute display *
# 禁止 system-view(根墙也不让进系统视图,可选)
rule 100 deny command system-view
# 2. 修改 UVB 用户绑定新角色
local-user UVB
authorization-attribute user-role context-lite
quit
save
2)虚墙配置(每个虚墙都要做)
bash
运行
# 先切进虚墙
switchto context 虚墙名
system-view
# 1. 同名自定义角色(和根墙一致)
role name context-lite
description 虚墙内:禁止 system-view,仅业务权限
# 允许基础查询
rule 20 permit read *
rule 30 permit execute display *
# 拒绝 system-view、系统级命令
rule 100 deny command system-view
rule 101 deny command interface *
rule 102 deny command ip route * # 按需拒绝其他系统命令
# 2. 虚墙内创建 UVB(本地用户,同密码)
local-user UVB
password simple 原密码
service-type ssh
authorization-attribute user-role context-lite
quit
save
# 切回根墙
switchto context default
save
三、效果验证
- 根墙登录:UVB → 不能
system-view,但能switchto context 虚墙名H3C。 - 虚墙内:UVB → 输入
system-view→ Permission denied,只能执行display等放行命令H3C。
四、常见坑
- ❌ 只在根墙改
context-admin:无效,虚墙角色独立。 - ❌ 虚墙没建同名角色:切进去会报错 “角色不存在”。
- ✅ 所有虚墙都要重复配置:每个 Context 角色库独立。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论