Print

防火墙认证授权问题

2021-11-11 发表

组网及说明

远程认证、本地授权

<H3C>dis local-user state active

Device management user user-fh:

  State:                     Active

  Service type:              None

  User group:                system

  Bind attributes:

  Authorization attributes:

    Work directory:          slot1#sda0:

    User role list:           network-operator

  Password control configurations:

    Password complexity:     username checking

问题描述

远程服务器认证,本地授权。目前测试的用户名为user-fh,想让此用户只有查看的权限,没有操作的权限。 

(1)web登录后,发现拥有所有权限 ;(2)命令行登录后,权限正常,但可以更改其他用户及自己的权限。例如将自己变成network-admin。


过程分析

查看现场配置,优先tacacs授权,tacacs授权失败再本地授权。由于进行了远程tacacs授权,本地授权无效,从而出现上述现象。


解决方法

(1)本地授权优先

domain cmbc-acs

   authorization login local hwtacacs-scheme acs  //本地授权优先

(2)本地用户配置

local-user user-fh class manage

 authorization-attribute user-role network-operator

 password simple xxxxxx   //新添加配置

 service-type https ssh  //新添加配置