• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

配置super密码 然后才能进入命令进行配置

2019-12-10提问
  • 0关注
  • 1收藏,1593浏览
tank 零段
粉丝:0人 关注:0人

问题描述:

如何配置super密码 然后才能进入命令进行配置

组网及组网描述:

最佳答案

粉丝:20人 关注:15人

1.9.1  功能简介

切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色,改变用户所拥有的命令行权限。切换后的用户角色只对当前登录生效,用户重新登录后,又会恢复到原有角色。

·              为了防止对设备的误操作,通常情况下建议管理员使用较低权限的用户角色登录设备、查看设备运行参数,当需要对设备进行维护时,再临时切换到较高权限的用户角色。

·              当管理员需要暂时离开设备或者将设备暂时交给其它人代为管理时,为了安全起见,可以临时切换到较低权限的用户角色,来限制其他人员的操作。

·              为了保证操作的安全性,通常用户进行用户角色切换时,均需要输入用户角色切换密码。切换到不同的用户角色时,需要输入相应切换密码。如果服务器没有响应或者没有配置用户角色切换密码,则切换操作失败,若还有备份认证方案,则转而进行备份认证。设备支持如1-2所示的四种用户角色切换认证方式。

表1-2 用户角色的切换认证方式

认证方式

涵义

说明

local

本地密码认证

设备验证用户输入的用户角色切换密码

使用该方式时,需要在设备上使用super password命令设置用户角色切换密码

对于Console/AUX口登录的用户,在设备仅采用本地密码切换认证方式且未配置切换密码的情况下,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色

scheme

通过HWTACACSRADIUS进行远程AAA认证

设备将用户角色切换使用的用户名和密码发送给HWTACACS/RADIUS服务器进行远程验证

使用该方式时,需要进行以下相关配置:

·          在设备上配置HWTACACS/RADIUS方案,并在ISP域中引用已创建的HWTACACS/RADIUS方案,详细介绍请参见“安全配置指导”中的“AAA

·          HWTACACS/RADIUS服务器上创建相应的用户并配置密码

local scheme

先本地密码认证,后远程AAA认证

先进行本地密码认证,若设备上未设置本地用户角色切换密码,使用ConsoleTTYVTY用户线登录的用户则转为远程AAA认证,使用AUX用户线登录的用户则可以成功切换用户角色

scheme local

先远程AAA认证,后本地密码认证

先进行远程AAA认证,远程HWTACACS/RADIUS服务器无响应或设备上的AAA远程认证配置无效时,转为本地密码认证

 

1.9.2  配置限制和指导

·              在进行切换操作前,请先保证配置了正确的用户角色切换密码。

·              当使用HWTACACS方案进行用户角色切换认证时,系统使用用户输入的用户角色切换用户名进行角色切换认证,HWTACACS服务器上也必须存在相应的用户。

¡  当用户要切换到level-n的用户角色时,要求HWTACACS服务器上存在能提供切换到level-n角色的用户。在HWTACACS服务器上,支持切换到用户角色level-n的用户也能够支持切换到level-0level-n之间任意的用户角色。

¡  当用户要切换到非level-n的用户角色时,要求HWTACACS服务器上存在至少能提供切换到level-0角色的用户,且该用户配置了取值为allowed-roles=”role的自定义属性(其中role为要切换的目的用户角色名称)。

·              当使用RADIUS方案进行用户角色切换认证时,系统使用“$enabn$”形式的用户名进行用户角色切换认证,其中n为用户希望切换到的用户角色level-n中的nRADIUS服务器上也必须存在该形式用户名的用户。与HWTACACS不同的是,用户进行角色切换时可输入任意用户名,该名称在认证过程中无实际意义。

¡  当用户要切换到level-n的用户角色时,要求RADIUS服务器上存在用户名为“$enabn$”的用户。例如,用户希望切换到用户角色level-3,输入任意用户名,系统忽略用户输入的用户名,使用“$enab3$”形式的用户名进行用户角色切换认证。

¡  当用户要切换到非level-n的用户角色时,要求RADIUS服务器上存在用户名为“$enab0$”的用户,且该用户配置了取值为allowed-roles=”role的自定义属性(其中role为要切换的目的用户角色名称)。

·              用户进行用户角色切换认证时,系统发送给RADIUS服务器的认证请求报文中的用户名中不会携带域名,系统采用的切换认证方案使用缺省域。

·              用户进行用户角色切换认证时,系统发送给HWTACACS服务器的认证请求报文中的用户名是否携带域名由配置决定(user-name-format),系统采用的切换认证方案由用户输入的用户名中指定的域名决定,若该用户名中未携带域名,则使用缺省域。

·              当用户从用户角色a切换到用户角色b后,若输入quit命令,将退出当前登录的用户线。

1.9.3  配置用户角色切换的认证方式

(1)      进入系统视图。

system-view

(2)      配置用户角色切换时的认证方式。

super authentication-mode { local | scheme } *

缺省情况下,采用local认证方式。

1.9.4  配置用户角色切换的缺省目的用户角色

(1)      进入系统视图。

system-view

(2)      配置用户角色切换的缺省目的用户角色。

super default role role-name

缺省情况下,用户角色切换的缺省目的角色为network-admin

1.9.5  配置用户角色切换的密码

1. 功能简介

如果用户角色的切换认证方式采用local认证方式,则需要配置用户角色切换的密码。如果采用scheme认证方式则无需此配置。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      配置用户角色切换的密码。

(非FIPS模式)

super password [ role role-name ] [ { hash | simple } string ]

FIPS模式)

super password [ role role-name ]

缺省情况下,未设置切换用户角色的密码。

若不指定用户角色,则设置的是切换到当前缺省目的用户角色的密码。

1.9.6  切换用户角色

1. 配置限制和指导

用户最多可以连续进行三次切换认证,如果三次认证都失败则本轮切换失败。

在与当前登录用户相同的ISP域中执行用户角色切换认证时,如果用户角色切换认证使用的AAA方案与登录域下配置的登录授权方法不同,可能无法切换到非level-n用户角色。

要解决此问题,建议authentication super命令配置的AAA方案与登录域下通过authorization login命令配置的AAA方案保持一致。

AAA相关内容的介绍请参见“安全配置指导”中的“AAA”。

2. 配置准备

若要执行切换用户角色的操作,必须保证当前用户具有执行本命令的权限。

3. 配置步骤

请在用户视图下执行本命令,切换用户角色。

super [ role-name ]

若不指定用户角色,则切换到当前缺省目的用户角色。缺省的目的用户角色由super default role命令指定。

暂无评论

1 个回答
lumm 九段
粉丝:21人 关注:5人

super密码配置是要telnet还是别的,super配置参考如下链接

http://www.h3c.com/cn/d_201908/1222014_30005_0.htm  

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明