最佳答案
切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色,改变用户所拥有的命令行权限。切换后的用户角色只对当前登录生效,用户重新登录后,又会恢复到原有角色。
· 为了防止对设备的误操作,通常情况下建议管理员使用较低权限的用户角色登录设备、查看设备运行参数,当需要对设备进行维护时,再临时切换到较高权限的用户角色。
· 当管理员需要暂时离开设备或者将设备暂时交给其它人代为管理时,为了安全起见,可以临时切换到较低权限的用户角色,来限制其他人员的操作。
· 为了保证操作的安全性,通常用户进行用户角色切换时,均需要输入用户角色切换密码。切换到不同的用户角色时,需要输入相应切换密码。如果服务器没有响应或者没有配置用户角色切换密码,则切换操作失败,若还有备份认证方案,则转而进行备份认证。设备支持如表1-2所示的四种用户角色切换认证方式。
认证方式 |
涵义 |
说明 |
local |
本地密码认证 |
设备验证用户输入的用户角色切换密码 使用该方式时,需要在设备上使用super password命令设置用户角色切换密码 对于Console/AUX口登录的用户,在设备仅采用本地密码切换认证方式且未配置切换密码的情况下,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色 |
scheme |
通过HWTACACS或RADIUS进行远程AAA认证 |
设备将用户角色切换使用的用户名和密码发送给HWTACACS/RADIUS服务器进行远程验证 使用该方式时,需要进行以下相关配置: · 在设备上配置HWTACACS/RADIUS方案,并在ISP域中引用已创建的HWTACACS/RADIUS方案,详细介绍请参见“安全配置指导”中的“AAA” · 在HWTACACS/RADIUS服务器上创建相应的用户并配置密码 |
local scheme |
先本地密码认证,后远程AAA认证 |
先进行本地密码认证,若设备上未设置本地用户角色切换密码,使用Console、TTY或VTY用户线登录的用户则转为远程AAA认证,使用AUX用户线登录的用户则可以成功切换用户角色 |
scheme local |
先远程AAA认证,后本地密码认证 |
先进行远程AAA认证,远程HWTACACS/RADIUS服务器无响应或设备上的AAA远程认证配置无效时,转为本地密码认证 |
· 在进行切换操作前,请先保证配置了正确的用户角色切换密码。
· 当使用HWTACACS方案进行用户角色切换认证时,系统使用用户输入的用户角色切换用户名进行角色切换认证,HWTACACS服务器上也必须存在相应的用户。
¡ 当用户要切换到level-n的用户角色时,要求HWTACACS服务器上存在能提供切换到level-n角色的用户。在HWTACACS服务器上,支持切换到用户角色level-n的用户也能够支持切换到level-0到level-n之间任意的用户角色。
¡ 当用户要切换到非level-n的用户角色时,要求HWTACACS服务器上存在至少能提供切换到level-0角色的用户,且该用户配置了取值为allowed-roles=”role”的自定义属性(其中role为要切换的目的用户角色名称)。
· 当使用RADIUS方案进行用户角色切换认证时,系统使用“$enabn$”形式的用户名进行用户角色切换认证,其中n为用户希望切换到的用户角色level-n中的n,RADIUS服务器上也必须存在该形式用户名的用户。与HWTACACS不同的是,用户进行角色切换时可输入任意用户名,该名称在认证过程中无实际意义。
¡ 当用户要切换到level-n的用户角色时,要求RADIUS服务器上存在用户名为“$enabn$”的用户。例如,用户希望切换到用户角色level-3,输入任意用户名,系统忽略用户输入的用户名,使用“$enab3$”形式的用户名进行用户角色切换认证。
¡ 当用户要切换到非level-n的用户角色时,要求RADIUS服务器上存在用户名为“$enab0$”的用户,且该用户配置了取值为allowed-roles=”role”的自定义属性(其中role为要切换的目的用户角色名称)。
· 用户进行用户角色切换认证时,系统发送给RADIUS服务器的认证请求报文中的用户名中不会携带域名,系统采用的切换认证方案使用缺省域。
· 用户进行用户角色切换认证时,系统发送给HWTACACS服务器的认证请求报文中的用户名是否携带域名由配置决定(user-name-format),系统采用的切换认证方案由用户输入的用户名中指定的域名决定,若该用户名中未携带域名,则使用缺省域。
· 当用户从用户角色a切换到用户角色b后,若输入quit命令,将退出当前登录的用户线。
(1) 进入系统视图。
system-view
(2) 配置用户角色切换时的认证方式。
super authentication-mode { local | scheme } *
缺省情况下,采用local认证方式。
(1) 进入系统视图。
system-view
(2) 配置用户角色切换的缺省目的用户角色。
super default role role-name
缺省情况下,用户角色切换的缺省目的角色为network-admin。
如果用户角色的切换认证方式采用local认证方式,则需要配置用户角色切换的密码。如果采用scheme认证方式则无需此配置。
(1) 进入系统视图。
system-view
(2) 配置用户角色切换的密码。
(非FIPS模式)
super password [ role role-name ] [ { hash | simple } string ]
(FIPS模式)
super password [ role role-name ]
缺省情况下,未设置切换用户角色的密码。
若不指定用户角色,则设置的是切换到当前缺省目的用户角色的密码。
用户最多可以连续进行三次切换认证,如果三次认证都失败则本轮切换失败。
在与当前登录用户相同的ISP域中执行用户角色切换认证时,如果用户角色切换认证使用的AAA方案与登录域下配置的登录授权方法不同,可能无法切换到非level-n用户角色。
要解决此问题,建议authentication super命令配置的AAA方案与登录域下通过authorization login命令配置的AAA方案保持一致。
AAA相关内容的介绍请参见“安全配置指导”中的“AAA”。
若要执行切换用户角色的操作,必须保证当前用户具有执行本命令的权限。
请在用户视图下执行本命令,切换用户角色。
super [ role-name ]
若不指定用户角色,则切换到当前缺省目的用户角色。缺省的目的用户角色由super default role命令指定。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论