- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-用戶身份識別與管理配置
本章節下載: 08-用戶身份識別與管理配置 (332.05 KB)
目 錄
通過用戶身份識別與管理功能,設備可以將網絡流量的IP地址或MAC地址識別為用戶,並與安全特性(用戶黑名單、對象組等)相配合基於用戶進行網絡訪問控製。此功能便於網絡管理員基於用戶進行安全管理功能策略的製定,以及基於用戶進行網絡攻擊行為以及流量的統計和分析,解決了用戶IP地址或MAC地址變化帶來的策略控製問題。
基於用戶身份的訪問控製流程主要包括如下步驟:
(1) 用戶身份認證:網絡接入用戶完成身份驗證,並成為在線用戶。
(2) 用戶身份識別:設備記錄在線用戶的用戶名和IP地址、MAC地址等信息,並與本地的身份識別用戶賬戶和身份識別用戶組進行關聯,實現IP地址或MAC地址和用戶的映射。管理員也可以直接配置用戶和IP地址或MAC地址的映射關係,便於無需認證的網絡接入用戶使用。
(3) 安全管理功能策略執行:在線用戶訪問網絡服務時,設備識別出用戶流量的源IP地址或源MAC地址,並根據已建立IP地址或MAC地址和用戶的映射關係解析出對應的用戶名以及所屬的用戶組,然後按照安全管理特性(用戶黑名單、對象組等)對用戶/用戶組的策略配置,對該用戶的網絡訪問權限進行控製。
圖1-1 基於用戶身份的訪問控製流程示意圖
設備上的所有身份識別用戶按樹形結構組織,按照身份識別用戶、身份識別用戶組以及身份識別域的遞進關係進行管理:
· 每個身份識別用戶可以隸屬於一個或多個身份識別用戶組;
· 每個身份識別用戶組可以隸屬於一個或多個更高結構層次的身份識別用戶組;
· 每個身份識別用戶以及身份識別用戶組可以隸屬於一個域或不屬於任何域,該域稱為身份識別域。身份識別域是整個用戶身份識別管理架構中最高級別的管理單元。設備通過域名和用戶名的組合,以及域名和用戶組名的組合唯一標識一個被管理對象。
這種樹形組織結構易於管理員查詢、定位,是企業內常用的用戶組織方式。網絡管理員可以根據企業的組織結構在設備上管理身份識別用戶組和身份識別用戶,分別對應不同管理級別的部門和員工,如圖1-2所示:
身份識別用戶賬戶用於存儲和管理不同來源的網絡接入用戶身份信息,包括用戶名、用戶組名以及所屬身份識別域名。設備上,不同來源的身份識別用戶賬戶被身份識別模塊統一管理。
目前,支持以下幾種方式生成身份識別用戶賬戶:
· 從本地用戶數據庫學習:用戶身份識別模塊學習設備上的網絡接入類本地用戶信息,將其保存為身份識別用戶賬戶。關於網絡接入類本地用戶的詳細介紹請參見“安全配置指導”中的“AAA”。
· 從CSV文件中導入:管理員將記錄了用戶信息的CSV文件導入到設備中,實現批量創建身份識別用戶賬戶。
· 從遠程服務器導入:通過向遠程服務器發起用戶信息請求,將服務器上的網絡接入用戶賬戶信息直接導入本地,並生成對應的身份識別用戶賬戶。如果實際網絡環境中的用戶信息存放在遠程服務器上,則可采用此方式統一管理。支持的服務器包括LDAP服務器和H3C iMC的RESTful服務器。
通過用戶身份識別模塊管理的網絡接入類在線用戶,被稱為在線身份識別用戶。設備記錄的在線身份識別用戶信息可包括用戶名、身份識別域名、IP地址、MAC地址等。在線身份識別用戶有動態和靜態兩種類型。
動態在線身份識別用戶包括以下兩種類型:
· 在本設備接入的在線網絡接入用戶。用戶通過本地或遠程服務器認證上線後,用戶身份識別模塊會在本地身份識別用戶賬戶中查詢該用戶名和域名對應的表項,如果查詢成功,則會生成一條在線身份識別用戶表項。
· 從遠程服務器上獲取的在線網絡接入用戶。設備獲得遠程服務器的在線用戶信息後,用戶身份識別模塊會在本地身份識別用戶賬戶中查詢用戶名和域名對應的表項,如果查詢成功,則會生成對應的在線身份識別用戶表項。可采用此方式將遠程服務器上的在線用戶信息(包括其它接入設備上的在線用戶信息)導入到本機進行統一管理和監控。
支持互通遠程服務器為H3C iMC的RESTful服務器和Security Manage服務器,具體交互情況如下:
¡ 設備主動從H3C iMC的RESTful服務器上導入在線網絡接入用戶信息。
¡ 設備接收由Security Manage服務器推送的在線網絡接入用戶信息,但不支持主動獲取。
網絡管理員可以手工配置靜態類型的身份識別用戶,每個用戶表項中記錄了用戶名和IP地址或MAC地址的綁定關係。一個靜態類型的身份識別用戶創建後,用戶身份識別模塊會在本地身份識別用戶賬戶中查詢該用戶名和域名對應的表項,如果查詢成功,則會生成一條靜態類型的在線身份識別用戶表項。一些組網需求下,例如有少量指定人員臨時接入網絡時,網絡管理員希望這些用戶無需進行認證也能夠在安全特性的管理下訪問網絡,則可以通過配置靜態類型的身份識別用戶滿足該需求。
在線身份識別用戶可被應用模塊引用進行相關安全業務的處理。在線身份識別用戶被應用模塊引用之後,基於該用戶的安全業務將會生效。在線身份識別用戶表項被刪除後,用戶身份識別模塊將通知應用模塊停止該用戶相關的業務處理。
在用戶身份識別業務中,可以將用戶加入到組中進行批量配置和層級式管理,這樣的組稱為身份識別用戶組。設備上,不同來源的身份識別用戶組被用戶身份識別模塊統一管理。
目前,支持以下幾種方式生成身份識別用戶組:
· 從本地用戶數據庫學習:當設備上創建本地用戶組時,會通知用戶身份識別模塊生成相應的身份識別用戶組。關於本地用戶組的詳細介紹請參見“安全配置指導”中的“AAA”。
· 從CSV文件中導入:設備在從CSV文件中導入身份識別用戶賬戶的同時,可以根據管理員的配置自動生成相應的身份識別用戶組。
· 從遠程服務器導入:
¡ 設備在從H3C iMC的RESTful服務器或LDAP服務器上導入身份識別用戶賬戶的同時,會根據賬戶中的組信息自動生成相應的身份識別用戶組。
¡ 設備直接從LDAP服務器上獲取用戶組信息,並生成相應的身份識別用戶組。
身份識別用戶組可被應用模塊引用進行相關安全業務的處理。身份識別用戶組被應用模塊引用之後,該用戶組將處於激活狀態,所有基於該組的業務將會生效。當應用模塊取消對該身份識別用戶組的引用,該身份識別用戶組將處於非激活狀態。
目前,本特性與遠程服務器的互通情況如下:
· 支持從H3C iMC RESTful服務器導入身份識別用戶賬戶、身份識別用戶組和在線身份識別用戶;
· 支持從LDAP服務器導入身份識別用戶賬戶和身份識別用戶組;
· 支持從Security Manage服務器上獲取到在線身份識別用戶。
本特性支持的H3C iMC的RESTful服務器必須為支持SSM E0503P04組件的iMC PLAT 7.3 (E0605P04)版本或者支持EIA E0512組件的iMC PLAT 7.3(E0605)。
本特性不支持對基於MAC地址的快速認證Portal用戶的身份識別與管理。關於基於MAC地址的快速認證的詳細介紹,請參見“安全配置指導”中的“Portal”。
用戶身份識別與管理配置任務如下:
(1) 開啟用戶身份識別功能
僅當設備需要從RESTful服務器和LDAP服務器導入用戶信息時,才需要進行此配置。
a. 配置遠程服務器參數
b. 配置身份識別用戶導入策略
僅當設備需要與Security Manage服務器互通來獲取在線用戶信息時,才需要進行此配置。
(4) (可選)管理身份識別用戶賬戶
(5) (可選)管理在線身份識別用戶
(6) (可選)刪除身份識別用戶組
開啟用戶身份識別功能後,用戶身份識別模塊才會與接入模塊以及應用模塊一起聯動實現基於用戶身份的訪問控製。
(1) 進入係統視圖。
system-view
(2) 開啟用戶身份識別功能。
user-identity enable
缺省情況下,用戶身份識別功能處於關閉狀態。
RESTful服務器視圖用於定義設備與RESTful服務器交互的相關參數,包括登錄賬戶和服務器URI等。設備與RESTful服務器成功建立連接之後,可以從該服務器上手工或定期導入身份識別用戶賬戶、身份識別用戶組和在線身份識別用戶。
係統中僅能存在一個RESTful服務器。
(1) 進入係統視圖。
system-view
(2) 創建RESTful服務器,並進入RESTful服務器視圖。
user-identity restful-server server-name
(3) 配置登錄到RESTful服務器所需的用戶名和密碼。
login-name user-name password { cipher | simple } string
缺省情況下,未配置登錄到RESTful服務器所需的用戶名和密碼。
指定的用戶名和密碼必須是RESTful服務器上已存在的,否則無法與RESTful服務器建立連接。
(4) 指定RESTful服務器的URI。
uri { get-online-user | get-user-database | get-user-group-database | put-offline-user | put-online-user } uri-string
缺省情況下,未指定RESTful服務器的URI。
指定的URI必須與RESTful服務器上提供各類用戶資源服務的URI保持一致,否則將會導致用戶信息交互失敗。
可以通過多次執行本命令指定多個不同類型的URI。
(5) 配置RESTful服務器所屬的VPN。
vpn-instance vpn-instance-name
缺省情況下,未配置RESTful服務器的VPN,表示RESTful服務器位於公網。
(6) (可選)配置對RESTful服務器的探測功能。
a. 開啟對RESTful服務器的探測功能。
connection-detect enable
缺省情況下,對RESTful服務器的探測功能處於關閉狀態。
b. 配置對RESTful服務器的探測參數。
connection-detect { interval interval | maximum max-times }
缺省情況下,對RESTful服務器的探測周期為5分鍾,每周期內的最大探測次數為3。
LDAP方案用於指定與設備通信的LDAP服務器以及相關參數。設備與LDAP服務器成功建立連接之後,管理員可以從該服務器上導入身份識別用戶賬戶和身份識別用戶組。
關於LDAP方案及其相關配置的詳細介紹請參見“安全配置指導”中的“AAA”。
目前,係統不支持從LDAP服務器上導入在線身份識別用戶。
缺省情況下,係統從LDAP服務器上導入身份識別用戶賬戶或身份識別用戶組時,並不會攜帶其父組信息。如果希望導入的身份識別用戶和身份識別用戶組信息中攜帶其父組信息,則需要配置用戶組類型的LDAP屬性映射表,並在LDAP方案中引用該映射表。
(1) 進入係統視圖。
system-view
(2) 配置LDAP服務器。
LDAP服務器的配置包括服務器IP地址、與LDAP服務器建立連接所使用的管理員DN和密碼、DN查詢策略以及用戶組的過濾條件等。具體配置請參見“安全配置指導”中的“AAA”。
(3) 創建LDAP的屬性映射表,並進入屬性映射表視圖。
ldap attribute-map map-name
(4) 配置用戶組類型的LDAP屬性映射表。
map ldap-attribute ldap-attribute-name [ prefix prefix-value delimiter delimiter-value ] aaa-attribute user-group
(5) 退回係統視圖。
quit
(6) 創建LDAP方案,並進入LDAP方案視圖。
ldap scheme ldap-scheme-name
(7) 指定LDAP認證服務器。
authentication-server server-name
缺省情況下,未指定LDAP認證服務器。
(8) 引用LDAP屬性映射表。
attribute-map map-name
缺省情況下,未引用LDAP屬性映射表。
引用了LDAP屬性映射表的情況下,導入的身份識別用戶和身份識別用戶組信息中會攜帶其父組信息,但設備不會根據它自動生成相應的身份識別用戶組。
若要從服務器導入身份識別用戶賬戶、在線身份識別用戶或身份識別用戶組,則需要配置服務器身份識別用戶導入策略,該策略主要用於設置連接RESTful服務器和LDAP服務器的相關參數。
係統中僅能存在一個身份識別用戶導入策略。配置新策略之前,必須首先刪除當前策略。
(1) 進入係統視圖。
system-view
(2) 創建身份識別用戶導入策略,並進入身份識別用戶導入策略視圖。
user-identity user-import-policy policy-name
(3) 指定RESTful服務器。
restful-server server-name
缺省情況下,未指定RESTful服務器。
最多隻能指定一個RESTful服務器。如需指定其它的RESTful服務器,必須首先刪除已指定的RESTful服務器。
(4) 指定LDAP方案。
ldap-scheme ldap-scheme-name
缺省情況下,未指定LDAP方案。
最多可指定16個LDAP方案。
(5) (可選)配置自動導入身份識別用戶賬戶的周期。
account-update-interval interval
缺省情況下,自動導入身份識別用戶賬戶的周期為24小時。
(6) 配置從LDAP服務器上導入的用戶信息類型。
import-type { all | group | user }
缺省情況下,未配置從LDAP服務器上導入的用戶信息類型,允許導入用戶和用戶組信息。
Security Manage服務器集視圖中定義了Security Manage服務器的相關參數,包括服務器的IP地址、設備和服務器通信報文的加密算法、監聽服務器報文的端口號。
設備與Security Manage服務器成功建立連接之後,可以接收該服務器推送給設備的用戶上線報文和用戶下線報文。設備通過解析用戶上線報文來獲取在線用戶信息,並在完成身份識別用戶賬戶匹配後添加在線身份識別用戶表項;設備通過解析下線報文來刪除對應的在線身份識別用戶表項。
係統中僅能存在一個Security Manage服務器集。
(1) 進入係統視圖。
system-view
(2) 創建Security Manage服務器集,並進入Security Manage服務器集視圖。
user-identity security-manage-server server-set-name
(3) 配置Security Manage服務器的IP地址。
ip ip-address&<1-10>
缺省情況下,未配置Security Manage服務器的IP地址。
(4) 配置與Security Manage服務器交互使用的加密算法與共享密鑰。
encryption algorithm { 3des | aes128 } key { simple | cipher } string
缺省情況下,未配置與Security Manage服務器交互時使用的加密算法與共享密鑰。
(5) 配置設備監聽Security Manage服務器的端口號。
listen-port port-num
缺省情況下,設備監聽Security Manage服務器的端口號為8001。
開啟指定策略的身份識別用戶賬戶自動導入功能後,設備首先會從該策略指定的服務器上導入所有身份識別用戶賬戶和所有在線身份識別用戶信息,然後定期從該服務器上自動導入身份識別用戶賬戶(導入周期由身份識別用戶導入策略中的account-update-interval命令配置)。
如果開啟此功能時,用戶身份識別功能處於關閉狀態,則僅能從服務器上導入身份識別用戶賬戶。
如果開啟了指定策略的身份識別用戶賬戶自動導入功能,且同時開啟了對該策略中指定的RESTful服務器的探測功能,則當該RESTful服務器狀態由不可達變為可達時,設備會主動同步一次該服務器上的在線身份識別用戶信息。
(1) 進入係統視圖。
system-view
(2) 開啟身份識別用戶賬戶自動導入功能。
user-identity user-account auto-import policy policy-name
缺省情況下,身份識別用戶自動賬戶導入功能處於關閉狀態。
可以通過執行本命令向遠程服務器發起用戶信息請求,將服務器上的網絡接入用戶賬戶信息直接導入本地,並生成對應的身份識別用戶賬戶。在導入過程中,若某個賬戶導入失敗,則跳過該賬戶,繼續導入。
本命令中指定的身份識別用戶導入策略必須已經存在,且該策略中必須指定了有效的RESTful服務器的URI或LDAP服務器IP地址。
(1) 進入係統視圖。
system-view
(2) 導入服務器上的身份識別用戶賬戶。
user-identity user-account import policy policy-name
可以通過執行本命令從CSV文件中導入身份識別用戶賬戶。在導入過程中,若某個賬戶導入失敗,則立即停止導入。
查看由user-identity user-account export url命令導出的標準模板,確保使用的CSV文件格式合法。
(1) 進入係統視圖。
system-view
(2) 從CSV文件中導入身份識別用戶賬戶。
user-identity user-account import url url-string [ vpn-instance vpn-instance-name ] [ auto-create-group | override | start-line line-number ] *
可以通過執行本命令將設備上的身份識別用戶賬戶導出到一個CSV文件中保存。導出的CSV文件可直接或在編輯之後用於導入到本設備或其它接入設備上使用。
若執行本命令時指定了template參數,則導出一個標準的CSV文件模板,此模板可用於指導管理員編輯符合設備要求的CSV文件。
(1) 進入係統視圖。
system-view
(2) 將身份識別用戶賬戶導出到CSV文件。
user-identity user-account export url url-string [ { domain domain-name | null-domain } [ user user-name ] | template ] [ vpn-instance vpn-instance-name ]
可以通過以下方式刪除身份識別用戶賬戶:
· 手工刪除:管理員通過命令行刪除從服務器或者從CSV文件導入的身份識別用戶賬戶。
· 動態刪除:本地用戶數據庫中刪除某網絡接入類本地用戶之後,用戶身份識別模塊會同步刪除對應的身份識別用戶賬戶。
請在用戶視圖下執行本命令,刪除身份識別用戶賬戶。
reset user-identity user-account { all | { domain domain-name | null-domain } [ name user-name ] }
一個用戶名可以綁定多個IP地址、多個MAC地址或者多個IP地址和MAC地址的組合,但同一個IP地址、多個MAC地址或者IP地址和MAC地址的組合不能被多個用戶名綁定。
(1) 進入係統視圖。
system-view
(2) 配置靜態類型的身份識別用戶。
user-identity static-user user-name [ domain domain-name ] bind { ipv4 ipv4-address | ipv6 ipv6-address } [ mac mac-address ]
設備創建一條在線身份識別用戶表項之前,首先檢查該用戶是否能夠匹配上本地的身份識別用戶賬戶,如果能夠匹配上,才會生成對應的在線身份識別用戶表項。本功能來用來配置設備采用哪種用戶名格式去匹配身份識別用戶賬戶。
本功能僅對本設備接入的動態在線身份識別用戶生效。
(1) 進入係統視圖。
system-view
(2) 配置在線用戶身份識別的用戶名匹配模式。
user-identity online-user-name-match { keep-original | with-domain | without-domain }
缺省情況下,在線用戶身份識別的用戶名匹配模式為keep-original。
可以通過執行本命令向指定的遠程服務器實時發起在線用戶請求,實現導入服務器上當前所有在線用戶信息的目的。
目前,僅支持從H3C iMC的RESTful服務器上導入在線身份識別用戶。
若未開啟用戶身份識別功能,則本命令執行失敗。
本命令中指定的身份識別用戶導入策略必須已經存在,且該策略中必須指定了有效的RESTful服務器的URI。
(1) 進入係統視圖。
system-view
(2) 導入服務器上的在線身份識別用戶。
user-identity online-user import policy policy-name
可以通過以下方式刪除在線身份識別用戶:
· 手工刪除:管理員通過命令行刪除從服務器導入的動態在線身份識別用戶,以及通過匹配靜態身份識別用戶表項生成的靜態在線身份識別用戶。
· 動態刪除:
¡ 本設備接入的用戶下線後,接入模塊通知用戶身份識別模塊刪除對應的在線身份識別用戶。
¡ 設備重啟後,所有動態類型的在線身份識別用戶均被刪除。
¡ 用戶身份識別功能關閉,所有在線身份識別用戶均被刪除。
¡ 遠程服務器上用戶下線時,服務器會主動通知設備刪除相應的在線身份識別用戶。
在用戶視圖下執行本命令,刪除動態在線身份識別用戶。
reset user-identity dynamic-online-user { all | { domain domain-name | null-domain } [ name user-name ] | { ip ipv4-address | ipv6 ipv6-address }[ mac mac-address ] }
(1) 進入係統視圖。
system-view
(2) 刪除靜態在線身份識別用戶。
undo user-identity static-user user-name [ domain domain-name ] [ bind { ipv4 ipv4-address | ipv6 ipv6-address } [ mac mac-address ] ]
可以通過以下方式刪除身份識別用戶組:
· 手工刪除:管理員通過命令行刪除從服務器或者從CSV文件導入的身份識別用戶組。
· 動態刪除:本地用戶數據庫中刪除本地用戶組之後,用戶身份識別模塊會同步刪除對應的身份識別用戶組。
在用戶視圖下執行本命令,刪除身份識別用戶組。
reset user-identity user-group { all | { domain domain-name | null-domain } [ name group-name ] }
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後用戶身份識別與管理的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 用戶身份識別與管理顯示和維護
|
操作 |
命令 |
|
顯示指定的身份識別用戶或身份識別用戶組 |
display user-identity { domain domain-name | null-domain } { user [ user-name [ group ] ] | user-group [ group-name [ member { group | user } ] ] } |
|
顯示激活的身份識別用戶組 |
display user-identity active-user-group { all | domain domain-name | null-domain } |
|
顯示所有身份識別用戶或身份識別用戶組 |
display user-identity all { user | user-group } |
|
顯示在線身份識別用戶 |
display user-identity online-user { all | { domain domain-name | null-domain } name user-name } |
|
顯示RESTful服務器配置 |
display user-identity restful-server [ server-name ] |
|
顯示Security Manage服務器集的配置信息 |
display user-identity security-manage-server [ server-set-name ] |
|
顯示身份識別用戶導入策略 |
display user-identity user-import-policy [ policy-name ] |
管理員要求用戶不需要經過身份認證即可通過設備訪問網絡,但其網絡訪問權限需要接受安全策略的控製。具體要求為:IP地址為1.2.3.4、MAC地址為0001-0001-0001、用戶名為usera的用戶隻有在工作日才可以訪問外部網絡。
圖1-3 靜態類型用戶的身份識別與管理配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 1.2.3.5 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置安全域
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由。本舉例假設用戶Host到達外網服務器3.1.1.2/24的下一跳為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 3.1.1.2 24 2.2.2.2
(4) 配置用戶身份識別
# 創建網絡接入類本地用戶usera,配置一個靜態類型的身份識別用戶usera,並開啟用戶身份識別功能。
[Device] local-user usera class network
[Device-luser-network-usera] quit
[Device] user-identity static-user usera bind ipv4 1.2.3.4 mac 0001-0001-0001
[Device] user-identity enable
(5) 配置時間段及安全策略
# 創建名為work的時間段,製定隻允許用戶在工作時間訪問外部網絡的安全策略。
[Device] time-range work 08:00 to 18:00 working-day
[Device] security-policy ip
[Device-security-policy-ip] rule name ippolicy1
[Device-security-policy-ip-1-ippolicy1] source-zone trust
[Device-security-policy-ip-1-ippolicy1] destination-zone untrust
[Device-security-policy-ip-1-ippolicy1] action pass
[Device-security-policy-ip-1-ippolicy1] user usera
[Device-security-policy-ip-1-ippolicy1] time-range work
[Device-security-policy-ip-1-ippolicy1] quit
[Device-security-policy-ip] quit
# 以上配置完成後,可通過如下顯示命令查看靜態類型的在線身份識別用戶信息。該用戶隻有在工作日才可以訪問外部網絡。
[Device] display user-identity online-user null-domain name usera
User name: usera
IP : 1.2.3.4
MAC : 0001-0001-0001
Type: Static
Total 1 records matched.
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
