h3c 5500ei
- 0关注
- 1收藏,978浏览
问题描述:
请教一下 建用户的时候这两条命令什么意思。
[H3C-luser-manager]level 3
[H3C-luser-manager]authorization-attribute level 3
- 2018-12-20提问
- 举报
-
(0)
最佳答案
授予用户的属性权限3级,否则登录用户只具备基础的权限,不具备设备管理维护等权限
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。
undo authorization-attribute命令用来删除配置的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | ip ipv4-address | ip-pool ipv4-pool-name | ipv6 ipv6-address | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | url url-string | user-profile profile-name | user-role role-name | vlan vlan-id | work-directory directory-name } *
undo authorization-attribute { acl | callback-number | idle-cut | ip | ip-pool | ipv6 | ipv6-pool | ipv6-prefix | primary-dns | secondary-dns | session-timeout | url | user-profile | user-role role-name | vlan | work-directory } *
【缺省情况】
授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。由用户角色为network-admin或level-15的用户创建的本地用户被授权用户角色network-operator。
【视图】
本地用户视图/用户组视图
【缺省用户角色】
network-admin
【参数】
acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。本地用户认证成功后,将被授权仅可以访问符合指定ACL规则的网络资源。
callback-number callback-number:指定本地用户的授权PPP回呼号码。其中,callback-number为1~64个字符的字符串,区分大小写。本地用户认证成功后,设备将可以使用该用户的授权PPP回呼号码向PPP协商的对端设备发起回呼。
idle-cut minute:设置本地用户的闲置切断时间。其中,minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。
ip ipv4-address:指定本地用户的静态IP地址。本地用户认证成功后,将允许使用该IP地址。
ip-pool ipv4-pool-name:指定本地用户的IPv4地址池信息。本地用户认证成功后,将允许使用该IPv4地址池分配地址。其中,ipv4-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。
ipv6 ipv6-address:指定本地用户的静态IPv6地址。本地用户认证成功后,将允许使用该IPv6地址。
ipv6-pool ipv6-pool-name:指定本地用户的IPv6地址池信息。本地用户认证成功后,将允许使用该IPv6地址池分配地址。其中,ipv6-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。
ipv6-prefix ipv6-prefix prefix-length:指定本地用户的IPv6前缀信息。ipv6-prefix prefix-length为前缀地址和前缀长度,前缀长度取值范围是1~128。本地用户认证成功后,将允许使用该IPv6前缀。此属性只对PPP用户生效。
primary-dns ip ipv4-address:指定本地用户的首选DNS服务器IPv4地址。本地用户认证成功后,将被授权使用该主DNS服务器。
primary-dns ipv6 ipv6-address:指定本地用户的首选DNS服务器IPv6地址。本地用户认证成功后,将被授权使用该主DNS服务器。
secondary-dns ip ipv4-address:指定本地用户的备用DNS服务器IPv4地址。本地用户认证成功后,将被授权使用该从DNS服务器。
secondary-dns ipv6 ipv6-address:指定本地用户的备用DNS服务器IPv6地址。本地用户认证成功后,将被授权使用该从DNS服务器。
session-timeout minutes:设置本地用户的会话超时时间。其中,minutes为设定的会话超时时间,取值范围为1~1440,单位为分钟。如果用户在线时长超过该值,设备会强制该用户下线。
url url-string:指定本地用户的强制URL,为1~255个字符的字符串,区分大小写。用户认证成功后,此URL将被推送至PPP客户端。
user-profile profile-name:指定本地用户的授权User Profile。其中,profile-name表示User Profile名称,为1~31个字符的字符串,只能包含英文字母、数字、下划线,区分大小写。当用户认证成功后,其访问行为将受到User Profile中的预设配置的限制。关于User Profile的详细介绍请参见“安全配置指导”中的“User Profile”。
user-role role-name:指定本地用户的授权用户角色。其中,role-name为1~63个字符的字符串,区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置,不能在本地用户组视图下配置。
vlan vlan-id:指定本地用户的授权VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。本地用户认证成功后,将被授权仅可以访问指定VLAN内的网络资源。
work-directory directory-name:授权FTP/SFTP/SCP用户可以访问的目录。其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在。缺省情况下,FTP/SFTP/SCP用户可访问设备的根目录,可通过本参数来修改用户可以访问的目录。
【使用指导】
可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性:
· 对于PPP用户,仅授权属性callback-number、idle-cut、ip、ip-pool、ipv6-pool、ipv6-prefix、primary-dns、secondary-dns、session-timeout、url、user-profile有效;
· 对于Portal用户,仅授权属性acl、idle-cut、ip-pool、ipv6-pool、session-timeout和user-profile有效;
· 对于lan-access用户,仅授权属性acl、idle-cut、session-timeout、vlan和user-profile有效;
· 对于telnet、terminal用户,仅授权属性user-role和work-directory有效;
· 对于http、https、telnet、terminal用户,仅授权属性user-role有效;
· 对于ssh、ftp用户,仅授权属性user-role和work-directory有效;
· 对于IKE用户,仅授权属性ip-pool有效;
· 对于其它类型的本地用户,所有授权属性均无效。
用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。
本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。
为了避免设备上进行主备倒换后FTP/SFTP/SCP用户无法正常登录,建议用户在指定工作目录时不要携带槽位信息。
为确保本地用户仅使用本命令指定的授权用户角色,请先使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。
被授权安全日志管理员的本地用户登录设备后,仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令,具体命令可通过display role name security-audit命令查看。安全日志文件管理相关命令的介绍,请参见“网络管理与监控”中的“信息中心”。文件系统管理相关命令的介绍,请参见“基础配置命令参考”中的“文件系统管理”。
为本地用户授权安全日志管理员角色时,需要注意的是:
· 安全日志管理员角色和其它用户角色互斥:
¡ 为一个用户授权安全日志管理员角色时,系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色;
¡ 如果已经授权当前用户安全日志管理员角色,再授权其它的用户角色时,系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色。
· 系统中的最后一个安全日志管理员角色的本地用户不可被删除。
【举例】
# 配置网络接入类本地用户abc的授权VLAN为VLAN 2。
<Sysname> system-view
[Sysname] local-user abc class network
[Sysname-luser-network-abc] authorization-attribute vlan 2
# 配置用户组abc的授权VLAN为VLAN 3。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc] authorization-attribute vlan 3
# 配置设备管理类本地用户xyz的授权用户角色为security-audit(安全日志管理员)。
<Sysname> system-view
[Sysname] local-user xyz class manage
[Sysname-luser-manage-xyz] authorization-attribute user-role security-audit
This operation will delete all other roles of the user. Are you sure? [Y/N]:y
【相关命令】
· display local-user
· display user-group
- 2018-12-20回答
- 评论(2)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
但这两条命令有分别什么意思呢
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。 undo authorization-attribute命令用来删除配置的授权属性,恢复用户具有的缺省访问权限。 【命令】 authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | ip ipv4-address | ip-pool ipv4-pool-name | ipv6 ipv6-address | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | url url-string | user-profile profile-name | user-role role-name | vlan vlan-id | work-directory directory-name } * undo authorization-attribute { acl | callback-number | idle-cut | ip | ip-pool | ipv6 | ipv6-pool | ipv6-prefix | primary-dns | secondary-dns | session-timeout | url | user-profile | user-role role-name | vlan | work-directory } * 【缺省情况】 授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。由用户角色为network-admin或level-15的用户创建的本地用户被授权用户角色network-operator。 【视图】 本地用户视图/用户组视图 【缺省用户角色】 network-admin 【参数】 acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。本地用户认证成功后,将被授权仅可以访问符合指定ACL规则的网络资源。 callback-number callback-number:指定本地用户的授权PPP回呼号码。其中,callback-number为1~64个字符的字符串,区分大小写。本地用户认证成功后,设备将可以使用该用户的授权PPP回呼号码向PPP协商的对端设备发起回呼。 idle-cut minute:设置本地用户的闲置切断时间。其中,minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。 ip ipv4-address:指定本地用户的静态IP地址。本地用户认证成功后,将允许使用该IP地址。 ip-pool ipv4-pool-name:指定本地用户的IPv4地址池信息。本地用户认证成功后,将允许使用该IPv4地址池分配地址。其中,ipv4-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。 ipv6 ipv6-address:指定本地用户的静态IPv6地址。本地用户认证成功后,将允许使用该IPv6地址。 ipv6-pool ipv6-pool-name:指定本地用户的IPv6地址池信息。本地用户认证成功后,将允许使用该IPv6地址池分配地址。其中,ipv6-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。 ipv6-prefix ipv6-prefix prefix-length:指定本地用户的IPv6前缀信息。ipv6-prefix prefix-length为前缀地址和前缀长度,前缀长度取值范围是1~128。本地用户认证成功后,将允许使用该IPv6前缀。此属性只对PPP用户生效。 primary-dns ip ipv4-address:指定本地用户的首选DNS服务器IPv4地址。本地用户认证成功后,将被授权使用该主DNS服务器。 primary-dns ipv6 ipv6-address:指定本地用户的首选DNS服务器IPv6地址。本地用户认证成功后,将被授权使用该主DNS服务器。 secondary-dns ip ipv4-address:指定本地用户的备用DNS服务器IPv4地址。本地用户认证成功后,将被授权使用该从DNS服务器。 secondary-dns ipv6 ipv6-address:指定本地用户的备用DNS服务器IPv6地址。本地用户认证成功后,将被授权使用该从DNS服务器。 session-timeout minutes:设置本地用户的会话超时时间。其中,minutes为设定的会话超时时间,取值范围为1~1440,单位为分钟。如果用户在线时长超过该值,设备会强制该用户下线。 url url-string:指定本地用户的强制URL,为1~255个字符的字符串,区分大小写。用户认证成功后,此URL将被推送至PPP客户端。 user-profile profile-name:指定本地用户的授权User Profile。其中,profile-name表示User Profile名称,为1~31个字符的字符串,只能包含英文字母、数字、下划线,区分大小写。当用户认证成功后,其访问行为将受到User Profile中的预设配置的限制。关于User Profile的详细介绍请参见“安全配置指导”中的“User Profile”。 user-role role-name:指定本地用户的授权用户角色。其中,role-name为1~63个字符的字符串,区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置,不能在本地用户组视图下配置。 vlan vlan-id:指定本地用户的授权VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。本地用户认证成功后,将被授权仅可以访问指定VLAN内的网络资源。 work-directory directory-name:授权FTP/SFTP/SCP用户可以访问的目录。其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在。缺省情况下,FTP/SFTP/SCP用户可访问设备的根目录,可通过本参数来修改用户可以访问的目录。 【使用指导】 可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性: · 对于PPP用户,仅授权属性callback-number、idle-cut、ip、ip-pool、ipv6-pool、ipv6-prefix、primary-dns、secondary-dns、session-timeout、url、user-profile有效; · 对于Portal用户,仅授权属性acl、idle-cut、ip-pool、ipv6-pool、session-timeout和user-profile有效; · 对于lan-access用户,仅授权属性acl、idle-cut、session-timeout、vlan和user-profile有效; · 对于telnet、terminal用户,仅授权属性user-role和work-directory有效; · 对于http、https、telnet、terminal用户,仅授权属性user-role有效; · 对于ssh、ftp用户,仅授权属性user-role和work-directory有效; · 对于IKE用户,仅授权属性ip-pool有效; · 对于其它类型的本地用户,所有授权属性均无效。 用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。 本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。 为了避免设备上进行主备倒换后FTP/SFTP/SCP用户无法正常登录,建议用户在指定工作目录时不要携带槽位信息。 为确保本地用户仅使用本命令指定的授权用户角色,请先使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。 被授权安全日志管理员的本地用户登录设备后,仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令,具体命令可通过display role name security-audit命令查看。安全日志文件管理相关命令的介绍,请参见“网络管理与监控”中的“信息中心”。文件系统管理相关命令的介绍,请参见“基础配置命令参考”中的“文件系统管理”。 为本地用户授权安全日志管理员角色时,需要注意的是: · 安全日志管理员角色和其它用户角色互斥: ¡ 为一个用户授权安全日志管理员角色时,系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色; ¡ 如果已经授权当前用户安全日志管理员角色,再授权其它的用户角色时,系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色。 · 系统中的最后一个安全日志管理员角色的本地用户不可被删除。 【举例】 # 配置网络接入类本地用户abc的授权VLAN为VLAN 2。 <Sysname> system-view [Sysname] local-user abc class network [Sysname-luser-network-abc] authorization-attribute vlan 2 # 配置用户组abc的授权VLAN为VLAN 3。 <Sysname> system-view [Sysname] user-group abc [Sysname-ugroup-abc] authorization-attribute vlan 3 # 配置设备管理类本地用户xyz的授权用户角色为security-audit(安全日志管理员)。 <Sysname> system-view [Sysname] local-user xyz class manage [Sysname-luser-manage-xyz] authorization-attribute user-role security-audit This operation will delete all other roles of the user. Are you sure? [Y/N]:y 【相关命令】 · display local-user · display user-group