Print

某局点WX3540H RBAC 配置授权无法生效

2018-03-28 发表

某局点使用我司WX3540H系列无线控制器,在使用过程中用户想对设备管理进行精细化分权管理,对于关键命令授权给相应的管理员。用户测试过程中想让用户具体进入端口,并且关闭端口的权限,用户测试关键配置如下。

#
local-user test class manage
 password hash $h$6$Gmnk38XkL9HRnYlQ$ygFPIEtEYOhPI8dxAcwmJXn2097f+teA6ke26B2ua8XV/0Tagj/vSfhqxu0uR5iNU6tECpbShfx6bcyQ2vetSw==
 service-type telnet
 authorization-attribute user-role test
#
role name test
 rule 1 permit command interface*
 rule 2 permit command shutdown
#

能过以上配置,在用户使用测试用户登录设备进行测试时,有如下报错提示
login: test
Password:
<H3C>sy
System View: return to User View with Ctrl+Z.
[H3C]int g ?
Permission denied.

通过以上提示可以看到,通过用户角色授权时授权了进程GE接口命令,但命令无法执行,提示不允许执行这个命令。

通过对RBAC功能的详细分析,发现在对用户命令进行授权时需要将视图信息进行详细配置说明,要实现以上功能需要完成如下配置

#
role name test
 rule 3 permit command system;interface*
#

在配置RBAC对用户角色进行命令授权时,需要对用户命令进行视图详细配置,修改用户配置如下,方可进入命令行视图,接口视图下命令类似,同样需要指明在系统视图下的接口视图进行配置。

#
role name test
 rule 3 permit command system;interface*
#

在通过RBAC对用户角色进行授权时,需要对命令的视图进行完整配置说明,命令中的不同视图需要使用英文半角分号隔开。