- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-RBAC命令
本章節下載: 02-RBAC命令 (416.92 KB)
目 錄
1.1.4 display role feature-group
1.1.12 role default-role enable
1.1.16 super authentication-mode
1.1.19 super use-login-username
description命令用來配置用戶角色的描述信息,用來方便管理員對用戶角色進行管理。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
未定義用戶角色描述信息。
【視圖】
用戶角色視圖
【缺省用戶角色】
network-admin
【參數】
text:用戶角色描述信息,為1~128個字符的字符串,區分大小寫。
【舉例】
# 為用戶角色role1配置描述信息為“labVIP”。
<Sysname> system-view
[Sysname] role name role1
[Sysname-role-role1] description labVIP
【相關命令】
· display role
· role
display role命令用來顯示用戶角色信息。
【命令】
display role [ name role-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name role-name:用戶角色名稱,為1~63個字符的字符串,區分大小寫。如果不指定用戶角色名稱,則表示顯示所有用戶角色的信息,包括係統缺省存在的用戶角色的信息。
【舉例】
# 顯示用戶角色123的信息。
<Sysname> display role name 123
Role: 123
Description: new role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
# 顯示所有用戶角色的信息。
<Sysname> display role
Role: network-admin
Description: Predefined network admin role has access to all commands on the d
evice
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command *
sys-2 permit RWX web-menu -
sys-3 permit RWX xml-element -
sys-4 deny command display security-logfile summary
sys-5 deny command system-view ; info-center securi
ty-logfile directory *
sys-6 deny command security-logfile save
sys-7 permit RW- oid 1
R:Read W:Write X:Execute
Role: network-operator
Description: Predefined network operator role has access to all read commands
on the device
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command display *
sys-2 permit command xml
sys-3 deny command display history-command all
sys-4 deny command display exception *
sys-5 deny command display cpu-usage configuration
*
sys-6 deny command display kernel exception *
sys-7 deny command display kernel deadloop *
sys-8 deny command display kernel starvation *
sys-9 deny command display kernel reboot *
sys-12 permit command system-view ; local-user *
sys-14 permit R-- web-menu -
sys-15 permit RW- web-menu m_device/m_maintenance/m_changep
assword
sys-16 permit RWX web-menu m_device/m_changevsys
sys-17 permit R-- xml-element -
sys-18 permit --X xml-element useraccounts/changemypassword
sys-19 permit --X xml-element rpc
sys-20 deny command display security-logfile summary
sys-21 deny command system-view ; info-center securi
ty-logfile directory *
sys-22 deny command security-logfile save
sys-23 deny command system-view ; local-user-import
*
sys-24 deny command system-view ; local-user-export
*
sys-25 permit R-- oid 1
sys-26 deny command system-view ; probe ; display sy
stem internal dbm *
sys-27 deny command system-view ; probe ; monitor sy
stem internal dbm name *
sys-28 deny command system-view ; probe ; undo monit
or system internal dbm name *
R:Read W:Write X:Execute
Role: level-0
Description: Predefined level-0 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command tracert *
sys-2 permit command telnet *
sys-3 permit command ping *
sys-4 permit command ssh2 *
sys-5 permit command super *
R:Read W:Write X:Execute
Role: level-1
Description: Predefined level-1 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command tracert *
sys-2 permit command telnet *
sys-3 permit command ping *
sys-4 permit command ssh2 *
sys-5 permit command display *
sys-6 permit command super *
sys-7 deny command display history-command all
sys-8 deny command system-view ; probe ; display sy
stem internal dbm *
sys-9 deny command system-view ; probe ; monitor sy
stem internal dbm name *
sys-10 deny command system-view ; probe ; undo monit
or system internal dbm name *
R:Read W:Write X:Execute
Role: level-2
Description: Predefined level-2 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
Role: level-3
Description: Predefined level-3 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
Role: level-4
Description: Predefined level-4 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
Role: level-5
Description: Predefined level-5 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
Role: level-6
Description: Predefined level-6 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
Role: level-7
Description: Predefined level-7 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
Role: level-8
Description: Predefined level-8 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
Role: level-9
Description: Predefined level-9 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit RWX feature -
sys-2 deny RWX feature device
sys-3 deny RWX feature filesystem
sys-4 permit command display *
sys-5 deny command display history-command all
sys-6 deny command system-view ; probe ; display sy
stem internal dbm *
sys-7 deny command system-view ; probe ; monitor sy
stem internal dbm name *
sys-8 deny command system-view ; probe ; undo monit
or system internal dbm name *
R:Read W:Write X:Execute
Role: level-10
Description: Predefined level-10 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
Role: level-11
Description: Predefined level-11 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
Role: level-12
Description: Predefined level-12 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
Role: level-13
Description: Predefined level-13 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
Role: level-14
Description: Predefined level-14 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
Role: level-15
Description: Predefined level-15 role
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command *
sys-2 permit RWX web-menu -
sys-3 deny RWX web-menu m_device/m_changevsys
sys-4 permit RWX xml-element -
sys-5 deny RWX xml-element fundamentals/switchvsys/vsysinde
x
sys-6 deny command display security-logfile summary
sys-7 deny command system-view ; info-center securi
ty-logfile directory *
sys-8 deny command security-logfile save
sys-9 permit RW- oid 1
R:Read W:Write X:Execute
Role: security-audit
Description: Predefined security audit role only has access to commands for th
e security log administrator
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 deny command *
sys-2 permit command display security-logfile summary
sys-3 permit command system-view ; info-center securi
ty-logfile directory *
sys-4 permit command security-logfile save
sys-5 permit command cd *
sys-6 permit command copy *
sys-7 permit command delete *
sys-8 permit command dir *
sys-9 permit command mkdir *
sys-10 permit command more *
sys-11 permit command move *
sys-12 permit command rmdir *
sys-13 permit command pwd
sys-14 permit command rename *
sys-15 permit command undelete *
sys-16 permit command ftp *
sys-17 permit command sftp *
R:Read W:Write X:Execute
Role: guest-manager
Description: Predefined guest manager role can't access to commands
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit RWX xml-element useraccounts/approveguest/
sys-2 permit RWX xml-element useraccounts/exportguestaccount/
sys-3 permit RWX xml-element useraccounts/generateguestaccoun
t/
sys-4 permit RWX xml-element useraccounts/guest/
sys-5 permit RWX xml-element useraccounts/guestconfigure/
sys-6 permit RWX xml-element useraccounts/importguestaccount/
sys-7 permit RWX xml-element useraccounts/exportguesttemplet/
sys-8 permit --X xml-element useraccounts/changemypassword
sys-9 permit RWX xml-element rpc/
sys-10 permit RWX web-menu m_global/m_networksecurity/m_gue
stmanage/
sys-11 permit RWX web-menu m_global/m_networksecurity/m_gue
stmanage/m_guestlist/
sys-12 permit RWX web-menu m_global/m_networksecurity/m_gue
stmanage/m_importguest/
sys-13 permit RWX web-menu m_global/m_networksecurity/m_gue
stmanage/m_generateguest/
sys-14 permit RWX web-menu m_global/m_networksecurity/m_gue
stmanage/m_approveguest/
sys-15 deny command *
R:Read W:Write X:Execute
Role: role1
Description:
VLAN policy: Permit (default)
Interface policy: Permit (default)
VPN instance policy: Permit (default)
Location policy: Permit (default)
表1-1 display role命令顯示信息描述表
|
字段 |
描述 |
|
Role |
用戶角色名稱,其中係統預定義的用戶角色名稱分別為network-admin、network-operator、level-n(n為0~15)、security-audit、guest-manager |
|
Description |
用戶角色描述信息 |
|
VLAN policy |
配置的VLAN策略: · Deny:表示除允許操作指定的VLAN外,其它VLAN均不能被用戶操作 · Permit (default):表示係統缺省允許用戶操作任何VLAN |
|
Permitted VLANs |
允許用戶操作的VLAN |
|
Interface policy |
配置的接口策略: · Deny:表示除允許操作指定的接口外,其它接口均不能被用戶操作 · Permit (default):表示係統缺省允許用戶操作任何接口 |
|
Permitted interfaces |
允許用戶操作的接口 |
|
VPN-instance policy |
(暫不支持)配置的VPN策略: · Deny:表示除允許操作指定的VPN實例外,其它VPN實例均不能被用戶操作 · Permit (default):表示係統缺省允許用戶操作任何VPN實例 |
|
Permitted VPN instances |
(暫不支持)允許用戶操作的VPN實例 |
|
Location policy |
配置的地區標識策略: · Deny:表示除允許操作指定的地區標識外,其它地區標識均不能被用戶操作 · Permit (default):表示係統缺省允許用戶操作任何地區標識 |
|
Permitted locations |
允許用戶操作的地區標識 |
|
Rule |
用戶角色規則編號(係統預定義的權限規則通過sys-n標識) |
|
Perm |
對命令行的操作許可: · Permit:允許操作 · Deny:禁止操作 |
|
Type |
命令行類型: · R:讀類型 · W:寫類型 · X:執行類型 |
|
Scope |
用戶角色規則的類型: · command:基於命令行的規則 · feature:基於特性的規則 · feature-group:基於特性組規則 · web-menu:基於Web菜單的規則 · xml-element:基於XML元素的規則 · oid:基於OID元素的規則 |
|
Entity |
用戶角色規則中定義的具體內容(命令特征字符串、特性名稱、特性組名稱、Web菜單、XML元素或OID) · “-”表示所有特性 · “*”為通配符,表示0個或多個任意字符 |
【相關命令】
· role
display role feature命令用來顯示特性相關信息。
【命令】
display role feature [ name feature-name | verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name feature-name:顯示指定特性的詳細信息,feature-name表示係統中的特性名稱,且所有特性名稱中的字母均為小寫。
verbose:顯示所有特性的詳細信息,即顯示特性內包含的所有命令行列表。
【使用指導】
如果不指定任何關鍵字,則顯示係統中所有特性的名稱列表。
【舉例】
# 顯示係統中所有特性的名稱列表。
<Sysname> display role feature
Feature: stress (Stress related commands)
Feature: device (Device configuration related commands)
Feature: interface (Interface related commands)
Feature: syslog (Syslog related commands)
……(略)
# 顯示所有特性的詳細信息。
<Sysname> display role feature verbose
Feature: device (Device configuration related commands)
display clock (R)
debugging dev (W)
display debugging dev (R)
display device * (R)
display diagnostic-information * (R)
display environment * (R)
display fan * (R)
display power * (R)
display current-configuration * (R)
display saved-configuration * (R)
display default-configuration * (R)
display startup (R)
display this * (R)
display archive configuration (R)
display configuration replace server (R)
display system stable state * (R)
clock datetime * (W)
reboot * (W)
save * (W)
repeat * (W)
archive configuration (W)
backup startup-configuration to * (W)
……(略)
# 顯示特性aaa的詳細信息。
<Sysname> display role feature name aaa
Feature: aaa (AAA related commands)
system-view ; domain-delimiter * (W)
system-view ; domain * (W)
system-view ; header * (W)
system-view ; aaa * (W)
system-view ; ita * (W)
display domain * (R)
system-view ; user-group * (W)
system-view ; local-user * (W)
system-view ; local-server * (W)
display local-user * (R)
display user-group * (R)
display debugging local-server (R)
debugging local-server * (W)
super * (X)
display password-control * (R)
reset password-control * (W)
system-view ; password-control * (W)
system-view ; local-user-import * (W)
system-view ; local-user-export * (W)
system-view ; probe ; display system internal local-user * (R)
system-view ; probe ; reset system internal local-user * (W)
system-view ; probe ; debugging system internal local-user * (W)
……(略)
表1-2 display role feature命令顯示信息描述表(以display role feature name aaa的顯示字段為例)
|
字段 |
描述 |
|
Feature |
特性名稱以及功能簡介 |
|
system-view ; domain * |
係統視圖下以domain開頭的所有命令,以及ISP域視圖下的所有命令 |
|
system-view ; header * |
係統視圖下以header開頭的所有命令 |
|
system-view ; aaa * |
係統視圖下以aaa開頭的所有命令 |
|
system-view ; ita * |
係統視圖下以ita開頭的所有命令 |
|
display domain * |
用戶視圖下以display domain開頭的所有命令 |
|
system-view ; user-group * |
係統視圖下以user-group開頭的所有命令,以及用戶組視圖下的所有命令 |
|
system-view ; local-user * |
係統視圖下以local-user開頭的所有命令,以及本地用戶視圖下的所有命令 |
|
display local-user * |
用戶視圖下以display local-user開頭的所有命令 |
|
display user-group * |
用戶視圖下以display user-group開頭的所有命令 |
|
display debugging local-server |
用戶視圖下以命令display debugging local-server開頭的所有命令 |
|
debugging local-server * |
用戶視圖下以debugging local-server開頭的所有命令 |
|
super * |
用戶視圖下以super開頭的所有命令 |
|
display password-control * |
用戶視圖下以display password-control開頭的所有命令 |
|
reset password-control * |
用戶視圖下以reset password-control開頭的所有命令 |
|
system-view ; password-control * |
係統視圖下以password-control開頭的所有命令 |
|
(W) |
命令行的類型為寫命令,本類型的命令用於對係統進行配置 |
|
(R) |
命令行的類型為讀命令,本類型的命令僅能顯示係統配置信息和維護信息 |
|
(X) |
命令行的類型為執行命令,本類型的命令用於執行特定的功能 |
【相關命令】
· feature
display role feature-group命令用來顯示特性組信息。
【命令】
display role feature-group [ name feature-group-name ] [ verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name feature-group-name:顯示指定特性組包含的特性名稱列表。feature-group-name表示特性組名稱,為1~31個字符的字符串,區分大小寫。如果不指定本參數,則表示顯示所有特性組的相關信息。
verbose:顯示特性組的詳細信息,即顯示特性組內的特性所包含的命令行列表。如果不指定本參數,則表示顯示特性組中的特性名稱列表。
【使用指導】
特性組L2和L3為係統預定義的兩個特性組。
【舉例】
# 顯示所有特性組內的特性名稱列表。
<Sysname> display role feature-group
Feature group: L2
Feature: igmp-snooping (IGMP-Snooping related commands)
Feature: mld-snooping (MLD-Snooping related commands)
Feature: lacp (LACP related commands)
Feature: stp (STP related commands)
Feature: lldp (LLDP related commands)
Feature: loopbk-detect (Loopback-detection related commands)
Feature: vlan (Virtual LAN related commands)
Feature: ofp (OFP related commands)
Feature: port-security (Port-security related commands)
Feature group: L3
Feature: route (Route management related commands)
Feature: usr (Unicast static route related commands)
Feature: rip (Routing Information Protocol related commands)
Feature: l3vpn (Layer 3 Virtual Private Network related commands)
Feature: multicast (Multicast related commands)
# 顯示所有特性組的詳細信息。
<Sysname> display role feature-group verbose
Feature group: L2
Feature: igmp-snooping (IGMP-Snooping related commands)
system-view ; igmp-snooping * (W)
system-view ; vlan * ; igmp-snooping * (W)
system-view ; vlan * ; pim-snooping * (W)
system-view ; interface * ; igmp-snooping * (W)
display igmp-snooping * (R)
display pim-snooping * (R)
display l2-multicast * (R)
system-view ; probe ; display system internal l2-multicast * (R)
reset igmp-snooping * (W)
reset pim-snooping * (W)
reset l2-multicast * (W)
debugging igmp-snooping * (W)
display debugging igmp-snooping * (R)
system-view ; probe ; debugging system internal igmp-snooping * (W)
Feature: mld-snooping (MLD-Snooping related commands)
system-view ; mld-snooping * (W)
system-view ; vlan * ; mld-snooping * (W)
system-view ; vlan * ; ipv6 pim-snooping * (W)
system-view ; interface * ; mld-snooping * (W)
display mld-snooping * (R)
display ipv6 pim-snooping * (R)
……(略)
# 顯示特性組L3的特性名稱列表。
<Sysname> display role feature-group name L3
Feature group: L3
Feature: route (Route management related commands)
Feature: usr (Unicast static route related commands)
Feature: rip (Routing Information Protocol related commands)
Feature: l3vpn (Layer 3 Virtual Private Network related commands)
Feature: multicast (Multicast related commands)
表1-3 display role feature-group命令顯示信息描述表
|
字段 |
描述 |
|
Feature group |
特性組名稱,其中L2和L3為係統預定義的兩個特性組 |
|
Feature |
特性名稱以及功能簡介 關於特性內具體命令的詳細介紹請參考表1-2 |
【相關命令】
· feature
· role feature-group
feature命令用來向特性組中添加一個特性。
undo feature命令用來刪除特性組中的指定特性。
【命令】
feature feature-name
undo feature feature-name
【缺省情況】
自定義特性組中不包括任何特性。
【視圖】
特性組視圖
【缺省用戶角色】
network-admin
【參數】
feature-name:係統支持的特性名稱,所有特性名稱中的字母均為小寫。
【使用指導】
可通過多次執行本命令,向特性組中添加多個特性。
【舉例】
# 向特性組security-features中添加特性AAA和ACL。
<Sysname> system-view
[Sysname] role feature-group name security-features
[Sysname-featuregrp-security-features] feature aaa
[Sysname-featuregrp-security-features] feature acl
【相關命令】
· display role feature
· display role feature-group
· role feature-group
interface policy deny命令用來進入接口策略視圖。
undo interface policy deny命令用來恢複缺省情況。
【命令】
interface policy deny
undo interface policy deny
【缺省情況】
用戶具有操作任何接口的權限。
【視圖】
用戶角色視圖
【缺省用戶角色】
network-admin
【使用指導】
進入接口策略視圖後,如果不配置允許操作的接口列表,則用戶將沒有操作任何接口的權限;如果需要限製或區分用戶對接口資源的使用權限,則還應該通過permit interface命令配置允許用戶操作的接口列表。
若接口策略視圖中未配置允許操作的接口列表,則表示不允許用戶操作所有的接口。對接口的操作指的是創建接口並進入接口視圖、刪除和應用接口。其中,創建和刪除接口,僅針對邏輯接口。
允許修改用戶角色的接口策略,但修改後的策略隻在被授權該角色的用戶重新登錄時才會生效。
【舉例】
# 在用戶角色role1中,進入接口策略視圖,並禁止角色為role1的用戶操作任何接口。
<Sysname> system-view
[Sysname] role name role1
[Sysname-role-role1] interface policy deny
[Sysname-role-role1-ifpolicy] quit
# 在用戶角色role1中,進入接口策略視圖,允許角色為role1的用戶操作接口GigabitEthernet1/0/1到GigabitEthernet1/0/4。
<Sysname> system-view
[Sysname] role name role1
[Sysname-role-role1] interface policy deny
[Sysname-role-role1-ifpolicy] permit interface gigabitethernet 1/0/1 to gigabitethernet 1/0/4
【相關命令】
· display role
· permit interface
· role
location policy deny命令用來進入地區標識策略視圖。
undo location policy deny命令用來恢複缺省情況。
【命令】
location policy deny
undo location policy deny
【缺省情況】
用戶具有操作任何地區標識的權限。
【視圖】
用戶角色視圖
【缺省用戶角色】
network-admin
【使用指導】
進入地區標識策略視圖後,如果不配置允許操作的地區標識列表,則用戶將沒有操作任何地區標識的權限;如果需要限製或區分用戶對地區標識資源的使用權限,則還應該通過permit location命令配置允許用戶操作的地區標識列表。
若地區標識策略視圖中未配置允許操作的地區標識列表,則表示不允許用戶操作所有的地區標識。對地區標識的“操作”指的是創建並進入地區標識視圖、刪除和應用地區標識。
允許修改用戶角色的地區標識策略,但修改後的策略隻在被授權該角色的用戶重新登錄時生效。
【舉例】
# 在用戶角色role1中,進入地區標識策略視圖,禁止角色為role1的用戶操作任意地區標識。
<Sysname> system-view
[Sysname] role name role1
[Sysname-role-role1] location policy deny
[Sysname-role-role1-locationpolicy] quit
# 在用戶角色role1中,進入地區標識策略視圖,允許角色為role1的用戶操作地區標識abc和123。
<Sysname> system-view
[Sysname] role name role1
[Sysname-role-role1] location policy deny
[Sysname-role-role1-locationpolicy] permit location abc 123
【相關命令】
· display role
· permit location
· role
permit interface命令用來配置允許用戶操作的接口列表。
undo permit interface命令用來禁止用戶操作指定的或所有的接口。
【命令】
permit interface interface-list
undo permit interface [ interface-list ]
【缺省情況】
接口策略視圖下未定義允許操作的接口列表,用戶沒有操作任何接口的權限。
【視圖】
接口策略視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-list:允許用戶操作的接口列表,表示多個接口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為接口類型,interface-number為接口編號。&<1-10>表示前麵的參數最多可以輸入10次。起始接口類型必須和終止接口類型一致,並且終止接口編號必須大於起始接口編號。
【使用指導】
通過interface policy deny命令進入接口策略視圖後,必須要通過本命令配置允許操作的接口列表,用戶才能具有操作相應接口的權限。
對接口的操作指的是創建並進入接口視圖、刪除和應用接口。其中,創建和刪除接口,隻針對邏輯接口。
可通過多次執行此命令向接口列表中添加允許用戶操作的接口。
undo permit interface命令如果不指定interface-list參數,則表示禁止用戶操作所有接口。
修改後的接口資源控製策略對於當前已經在線的用戶不生效,對於之後使用該角色登錄設備的用戶生效。
【舉例】
# 創建用戶角色role1並進入其視圖。
<Sysname> system-view
[Sysname] role name role1
# 配置用戶角色規則1,允許用戶執行進入接口視圖以及接口視圖下的相關命令。
[Sysname-role-role1] rule 1 permit command system-view ; interface *
# 配置用戶角色規則2,允許用戶執行創建VLAN以及進入VLAN視圖後的相關命令。
[Sysname-role-role1] rule 2 permit command system-view ; vlan *
# 配置用戶角色role1僅可以對接口GigabitEthernet1/0/1進行操作。
[Sysname-role-role1] interface policy deny
[Sysname-role-role1-ifpolicy] permit interface gigabitethernet 1/0/1
當擁有用戶角色role1的用戶登錄設備後,僅可以操作接口GigabitEthernet1/0/1,不能操作其它接口。
配置結果驗證如下:
· 進入接口GigabitEthernet1/0/1視圖。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1]
· 將接口GigabitEthernet1/0/1加入到VLAN 10。
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] port gigabitethernet 1/0/1
· 無法進入接口GigabitEthernet1/0/2視圖。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/2
Permission denied.
【相關命令】
· display role
· interface policy deny
· role
permit location命令用來配置允許用戶操作的地區標識列表。
undo permit location命令用來禁止用戶操作指定的或所有的地區標識。
【命令】
permit location location-name&<1-10>
undo permit location [ location-name&<1-10> ]
【缺省情況】
地區標識策略視圖下未定義允許操作的地區標識列表,用戶沒有操作任何地區標識的權限。
【視圖】
地區標識策略視圖
【缺省用戶角色】
network-admin
【參數】
location-name&<1-10>:表示允許用戶操作的地區標識的名稱,為1~31個字符的字符串,區分大小寫。&<1-10>表示前麵的參數最多可以輸入10次。
【使用指導】
通過location policy deny命令進入地區標識策略視圖後,必須要通過本命令配置允許操作的地區標識列表,用戶才能具有操作相應地區標識的權限。
對地區標識的“操作”指的是創建地區標識策略並進入其視圖、刪除和標記地區標識。
可通過多次執行此本命令向地區標識列表中添加允許用戶操作的地區標識。
undo permit location命令如果不指定location-name參數,則表示禁止用戶操作所有地區標識。
修改後的地區標識資源控製策略對於當前已經在線的用戶不生效,對於之後使用該角色登錄設備的用戶生效。
【舉例】
# 創建用戶角色role1並進入其視圖。
<Sysname> system-view
[Sysname] role name role1
# 配置用戶角色規則1,允許用戶執行係統視圖下的所有命令以及所有子視圖下的命令。
[Sysname-role-role1] rule 1 permit command system-view ; *
# 配置用戶角色role1僅可以對地區標識abc和123進行操作。
[Sysname-role-role1] location policy deny
[Sysname-role-role1-locationpolicy] permit location abc 123
擁有用戶角色role1的用戶登錄設備後,可以操作地區標識abc和123,但不能操作其它地區標識。
配置結果驗證如下:
# 創建名稱為abc的地區標識,並在ap-group1中標記它。
[Sysname] wlan location abc
[Sysname] wlan ap-group 1
[Sysname-wlan-ap-group-1] location abc
無法創建名稱為local的地區標識,也無法在ap-group1中標記它。
[Sysname] wlan location local
Permission denied.
[Sysname] wlan ap-group 1
[Sysname-wlan-ap-group-1] location local
Permission denied.
【相關命令】
· display role
· location policy deny
· role
permit vlan命令用來配置允許用戶操作的VLAN列表。
undo permit vlan命令用來禁止用戶操作指定的或所有的VLAN。
【命令】
permit vlan vlan-id-list
undo permit vlan [ vlan-id-list ]
【缺省情況】
VLAN接口視圖下未定義允許操作的VLAN列表,用戶沒有操作任何VLAN的權限。
【視圖】
VLAN策略視圖
【缺省用戶角色】
network-admin
【參數】
vlan-id-list:允許用戶操作的VLAN列表,表示方式為vlan-id-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id取值範圍為1~4094,&<1-10>表示前麵的參數最多可以重複輸入10次。終止VLAN編號必須大於起始VLAN編號。
【使用指導】
通過vlan policy deny命令進入VLAN策略視圖後,必須要通過本命令配置允許操作的VLAN列表,用戶才能具有操作相應VLAN的權限。
對VLAN的操作指的是創建VLAN並進入VLAN視圖、刪除和應用VLAN。
可通過多次執行此命令向VLAN列表中添加多個允許用戶操作的VLAN。
undo permit vlan命令如果不指定vlan-id-list參數,則表示禁止用戶操作所有VLAN。
修改後的VLAN資源控製策略對於當前已經在線的用戶不生效,對於之後使用該角色登錄設備的用戶生效。
缺省情況下,設備上所有的access端口都屬於VLAN 1。使用port access vlan命令將access端口加入到其它指定VLAN中時,該角色必須同時具備VLAN 1的操作權限(通過命令permit vlan 1配置)。
【舉例】
# 創建用戶角色role1並進入其視圖。
<Sysname> system-view
[Sysname] role name role1
# 配置用戶角色規則1,允許用戶執行進入接口視圖以及接口視圖下的相關命令。
[Sysname-role-role1] rule 1 permit command system-view ; interface *
# 配置用戶角色規則2,允許用戶執行創建VLAN以及進入VLAN視圖後的相關命令。
[Sysname-role-role1] rule 2 permit command system-view ; vlan *
# 配置用戶角色role1僅可以操作VLAN 1、VLAN 2、VLAN 4、VLAN 50~VLAN 100。
[Sysname-role-role1] vlan policy deny
[Sysname-role-role1-vlanpolicy] permit vlan 1 2 4 50 to 100
當擁有用戶角色role1的用戶登錄設備後,可以操作VLAN 1、VLAN 2、VLAN 4、VLAN 50~VLAN 100,但不能操作其它VLAN。
配置結果驗證如下:
· 創建並進入VLAN 100視圖。
<Sysname> system-view
[Sysname] vlan 100
[Sysname-vlan100]
· 向VLAN 100中添加Access類型的端口GigabitEthernet1/0/1。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port access vlan 100
· 無法創建VLAN 101或進入其視圖。
<Sysname> system-view
[Sysname] vlan 101
Permission denied.
【相關命令】
· display role
· role
· vlan policy deny
role命令用來創建用戶角色,並進入用戶角色視圖。如果指定的用戶角色已經存在,則直接進入用戶角色視圖。
undo role命令用來刪除指定的用戶角色。
【命令】
role name role-name
undo role name role-name
【缺省情況】
存在係統預定義的用戶角色:network-admin、network-operator、level-n(n為0~15的整數)、security-audit、guest-manager。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
name role-name:用戶角色名稱,role-name為1~63個字符的字符串,區分大小寫。
【使用指導】
除係統預定義的缺省用戶角色之外,係統中最多允許創建64個用戶角色。
缺省的用戶角色不能被刪除,而且其中的network-admin、network-operator、level-15、security-audit、guest-manager這些用戶角色內定義的所有權限均不能被修改;用戶角色level-0~level-14可以通過自定義規則和資源控製策略調整自身的權限,但這種修改對於display history-command all命令不生效,即不能通過添加對應的規則來更改它的缺省執行權限。
非AAA認證用戶不能被授予安全日誌管理員角色。
【舉例】
# 創建用戶角色role1,並進入用戶角色視圖。
<Sysname> system-view
[Sysname] role name role1
[Sysname-role-role1]
【相關命令】
· display role
· interface policy deny
· rule
· vlan policy deny
role default-role enable命令用來使能缺省用戶角色授權功能。
undo role default-role enable命令用來恢複缺省情況。
【命令】
role default-role enable [ role-name ]
undo role default-role enable
【缺省情況】
缺省用戶角色授權功能處於關閉狀態,沒有被AAA授權用戶角色的用戶不能登錄設備。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
role-name:缺省用戶角色名稱,為1~63個字符的字符串,區分大小寫,可以是係統中已存在的任意用戶角色。
【使用指導】
對於通過AAA認證登錄設備的用戶,由服務器(遠程認證服務器或本地認證服務器)為其授權對應的用戶角色。如果用戶沒有被授權任何用戶角色,將無法成功登錄設備。若未通過authorization-attribute命令配置本地用戶或用戶組的授權屬性,則必須使能缺省用戶角色授權功能。使能該功能後,用戶將在沒有被服務器授權任何用戶角色的情況下,具有一個缺省的用戶角色。
若用戶通過AAA認證且被授予了具體的用戶角色,則用戶不具有缺省的用戶角色。
若不指定role-name參數,如果用戶登錄設備,缺省用戶角色為network-operator。
【舉例】
# 使能缺省用戶角色授權功能。
<Sysname> system-view
[Sysname] role default-role enable
【相關命令】
· role
role feature-group命令用來創建特性組,並進入特性組視圖。如果指定的特性組已經存在,則直接進入特性組視圖。
undo role feature-group命令用來刪除指定的特性組。
【命令】
role feature-group name feature-group-name
undo role feature-group name feature-group-name
【缺省情況】
存在兩個特性組,名稱分別為L2和L3。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
name feature-group-name:特性組名稱,feature-group-name為1~31個字符的字符串,區分大小寫。
【使用指導】
除係統預定義的特性組L2和L3之外,係統中最多允許創建64個特性組。
不能修改和刪除係統預定義的特性組L2和L3。L2中包含了所有的二層協議相關功能的命令,L3中包含了所有三層協議相關功能的命令。
【舉例】
# 創建特性組security-features,並進入特性組視圖。
<Sysname> system-view
[Sysname] role feature-group name security-features
[Sysname-featuregrp-security-features]
【相關命令】
· display role feature
· display role feature-group
· feature
rule命令用來為用戶角色創建一條規則。
undo rule命令用來為用戶角色刪除規則。
【命令】
rule number { deny | permit } { command command-string | { execute | read | write } * { feature [ feature-name ] | feature-group feature-group-name | oid oid-string | web-menu [ web-string ] | xml-element [ xml-string ] } }
undo rule { number | all }
【缺省情況】
新創建的用戶角色中未定義規則,即當前用戶角色無任何權限。
【視圖】
用戶角色視圖
【缺省用戶角色】
network-admin
【參數】
number:權限規則編號,取值範圍為1~256。
deny:禁止執行指定的命令、Web菜單、XML元素或MIB節點OID。
permit:允許執行指定的命令、Web菜單、XML元素或MIB節點OID。
command command-string:配置基於命令的規則。command-string表示命令特征字符串,為1~128個字符的字符串,區分大小寫,可以是特定的一條命令行,也可以是用星號(*)通配符表示的一批命令,可包含空格、Tab(它們用於分隔關鍵字、參數以及輸入的字符),以及所有可打印字符。當命令特征字符串中含有“[”或“]”字符時,需要在該字符前加上轉義符“\”。例如,命令特征字符串為statistics[ifindex="*"],則需要輸入statistics\[ifindex="*"\]。
execute:表示執行類型的命令、Web菜單、XML元素或MIB節點OID。用於執行特定的程序或功能,執行類型的命令如ping命令。
read:表示讀類型的命令、Web菜單、XML元素或MIB節點OID,用於顯示係統配置和維護信息。讀類型的命如display、dir、more和pwd命令。
write:表示寫類型的命令、Web菜單、XML元素或MIB節點OID,用於對係統進行配置。寫類型的命如ssh server enable命令。
feature [ feature-name ]:配置基於特性的規則。feature-name表示係統預定義的特性名稱,區分大小寫。若不指定特性名稱,則表示所有特性。
feature-group feature-group-name:配置基於特性組的規則。feature-group-name表示特性組名稱,為1~31個字符的字符串,區分大小寫。隻有特性組創建後,基於特性組的規則才能生效。使用display role feature-group命令可以查看已創建的特性組信息。
oid oid-string:配置基於MIB節點OID(Object Identifier,對象標識符)的規則。oid-string表示允許操作的OID,為1~255個字符的字符串,不區分大小寫。OID是由一係列的整數組成,標明節點在MIB樹中的位置,它能唯一地標識一個MIB庫中的對象。例如:1.3.6.1.4.1.25506.8.35.14.19.1.1。
web-menu [ web-string ]:配置基於Web菜單的規則。web-string表示允許操作的Web菜單選項的ID路徑,為1~255個字符的字符串,不區分大小寫,以“/”為分隔符來分隔不同級別的菜單。合法的web-string為通過display web menu命令顯示的ID路徑,例如:M_DEVICE/I_BASIC_INFO/I_reboot;若不指定web-string參數,則表示對所有菜單選項生效。
xml-element [ xml-string ]:配置基於XML元素的規則。xml-string表示允許操作的XML元素的XPath,為1~255個字符的字符串,不區分大小寫,以“/”為分隔符來分隔不同級別的菜單,例如:Interfaces/Index/Name;若不指定xml-string參數,則表示對所有XML元素生效。
all:指定所有權限規則。
【使用指導】
可為一個用戶角色定義以下幾種類型的規則:
· 禁止或允許執行特定的命令行。
· 禁止或允許執行指定或所有特性的某一類或某幾類命令。
· 禁止或允許執行某個特性組中所有特性的某一類或某幾類命令。
· 禁止或允許執行指定所有或指定的MIB節點OID。
· 禁止或允許執行Web頁麵中所有菜單選項或某幾類菜單選項。
· 禁止或允許執行所有XML元素或某幾類XML元素。
每個用戶角色中最多可以配置256條規則,係統中可以配置的用戶角色規則總數不能超過1024。
訪問文件係統的命令,受基於文件係統特性規則以及具體命令規則的雙重控製。
對於需要將輸出信息重定向到文件中保存的命令,隻有在用戶角色被授權了文件係統寫權限後才允許執行。
為用戶角色定義規則時,需要注意的是:
· 如果指定編號的規則不存在,則表示創建一條新的規則;如果指定編號的規則已存在,則表示對已有的規則進行修改。修改後的規則對於當前已經在線的用戶不生效,對於之後使用該角色登錄設備的用戶生效。
· 一個用戶角色中允許創建多條規則,各規則以創建時指定的編號為唯一標識,被授權該角色的用戶可以執行的命令為這些規則定義的可執行命令的並集。若這些規則定義的權限內容有衝突,則規則編號大的有效。例如,規則1允許執行命令A,規則2允許執行命令B,規則3禁止執行命令A,則最終規則2和規則3生效,即禁止執行命令A,允許執行命令B。
· 在同時存在係統預定義規則(以sys-x為權限規則編號,x為整數值)和自定義規則的用戶角色中,若預定義規則定義的權限內容與自定義規則定義的權限內容有衝突,則以自定義規則為準。
輸入命令特征字符串時,需要遵循以下規則:
(1) 段(segment)的劃分
¡ 若要描述多級視圖下的命令,則需要使用分號(;)將命令特征字符串分成多個段,每一個段代表一個或一係列命令,後一個段中的命令是執行前一個段中命令所進入視圖下的命令。一個段中可以包含多個星號(*),每個星號(*)代表了0個或多個任意字符。例如:命令特征字符串“system ; interface * ; ip * ;”代表從係統視圖進入到任意接口視圖後,以ip開頭的所有命令。
¡ 除最後一個段外,其餘段中的命令應為描述如何進入子視圖的命令特征字符串。
¡ 一個段中必須至少出現一個可打印字符,不能全部為空格或Tab。
(2) 分號的使用
¡ 在輸入命令特征字符串時必須指定該命令所在的視圖,進入各視圖的命令特征字符串由分號分隔。但是,對於能在任意視圖下執行的命令(例如display命令)以及用戶視圖下的命令(例如dir命令),在配置包含此類命令的規則時,不需要在規則的命令匹配字符串中指定其所在的視圖。
¡ 當最後一個段中的最後一個可見字符為分號時,表示所指的命令範圍不再擴展,否則將向子視圖中的命令擴展。例如:命令特征字符串“system ; radius scheme * ;”代表係統視圖下以radius scheme開頭的所有命令;命令特征字符串“system ; radius scheme * ”代表係統視圖下以radius scheme開頭的所有命令,以及進入子視圖(RADIUS方案視圖)下的所有命令。
(3) 星號的使用
¡ 當星號(*)出現在一個段的首部時,其後麵不能再出現其它可打印字符,且該段必須是命令特征字符串的最後一個段。例如:命令特征字符串“system ; *”就代表了係統視圖下的所有命令,以及所有子視圖下的命令。
¡ 當星號(*)出現在一個段的中間時,該段必須是命令特征字符串的最後一個段。例如:命令特征字符串“debugging * event”就代表了用戶視圖下所有模塊的事件調試信息開關命令。
(4) 前綴匹配
命令關鍵字與命令特征字符串是采用前綴匹配算法進行匹配的,即隻要命令行中關鍵字的首部若幹連續字符或全部字符與規則中定義的關鍵字相匹配,就認為該命令行與此規則匹配。因此,命令特征字符串中可以包括完整的或部分的命令關鍵字。例如,若規則“rule 1 deny command display arp source”生效,則命令display arp source-mac interface和命令display arp source-suppression都會被禁止執行。
對於基於命令的規則,有以下使用注意事項:
· 基於命令的規則隻對指定視圖下的命令生效。若用戶輸入的命令在當前視圖下不存在而在其父視圖下被查找到時,用於控製當前視圖下的命令的規則不會對其父視圖下的命令執行權限進行控製。例如,定義一條規則“rule 1 deny command system ; interface * ; *”禁止用戶執行接口視圖下的任何命令。當用戶在接口視圖下輸入命令acl advanced 3000時,該命令仍然可以成功執行,因為係統在接口視圖下搜索不到指定的acl命令時,會回溯到係統視圖(父視圖)下執行,此時該規則對此命令不生效。
· display命令中的重定向符(“|”、“>”、“>>”)及其後麵的關鍵字不被作為命令行關鍵字參與規則的匹配。例如,若規則“rule 1 permit command display debugging”生效,則命令display debugging > log是被允許執行的,其中的關鍵字> log將被忽略,RBAC隻對重定向符前麵的命令行display debugging進行匹配。但是,如果在規則中配置了重定向符,則RBAC會將其作為普通字符處理。例如,若規則“rule 1 permit command display debugging > log”生效,則命令display debugging > log將會匹配失敗,因為其中的關鍵字> log被RBAC忽略了,最終是命令display debugging與規則進行匹配。因此,配置規則時不要使用重定向符。
進行基於OID的規則的匹配時,遵循以下規則:
· 與用戶訪問的OID形成最長匹配的規則生效。例如用戶訪問的OID為1.3.6.1.4.1.25506.141.3.0.1,角色中存在“rule 1 permit read write oid 1.3.6”,“rule 2 deny read write oid 1.3.6.1.4.1”和“rule 3 permit read write oid 1.3.6.1.4”,其中rule 2與用戶訪問的OID形成最長匹配,則認為rule 2與OID匹配,匹配的結果為用戶的此訪問請求被拒絕。
· 對於定義的OID長度相同的規則,規則編號大的生效。例如用戶訪問的OID為1.3.6.1.4.1.25506.141.3.0.1,角色中存在“rule 1 permit read write oid 1.3.6”,“rule 2 deny read write oid 1.3.6.1.4.1”和“rule 3 permit read write oid 1.3.6.1.4.1”,其中rule 2和rule 3與訪問的OID形成最長匹配,則rule 3生效,匹配的結果為用戶的訪問請求被允許。
【舉例】
# 為用戶角色role1創建一條規則,允許用戶執行命令display acl。
<Sysname> system-view
[Sysname] role name role1
[Sysname-role-role1] rule 1 permit command display acl
# 為用戶角色role1添加一條權限規則,允許用戶執行所有以display開頭的命令。
[Sysname-role-role1] rule 2 permit command display *
# 為用戶角色role1添加一條權限規則,允許用戶執行係統視圖下的radius scheme aaa命令,以及使用該命令進入子視圖後的所有命令。
[Sysname-role-role1] rule 3 permit command system ; radius scheme aaa
# 為用戶角色role1添加一條權限規則,禁止用戶執行所有特性中讀類型和寫類型的命令。
[Sysname-role-role1] rule 4 deny read write feature
# 為用戶角色role1添加一條權限規則,禁止用戶執行特性aaa中所有讀類型的命令。
[Sysname-role-role1] rule 5 deny read feature aaa
# 為用戶角色role1添加一條權限規則,允許執行特性組security-features中所有特性的讀類型、寫類型以及執行類型的命令。
[Sysname-role-role1] rule 6 permit read write execute feature-group security-features
# 為用戶角色role1添加一條基於OID的規則,允許對OID為1.1.2的MIB節點進行讀、寫操作。
[Sysname-role-role1] rule 7 permit read write oid 1.1.2
【相關命令】
· display role
· display role feature
· display role feature-group
· display web menu(基礎配置命令參考/登錄設備)
· role
super命令用來使用戶從當前角色切換到指定的用戶角色。
【命令】
super [ role-name ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
role-name:待切換的用戶角色名稱,為1~63個字符的字符串,區分大小寫,可以是係統中已存在的除security-audit、guest-manager之外的任意用戶角色。若不指定本參數,則切換到當前缺省的目的用戶角色。缺省的目的用戶角色由super default role命令指定。
【使用指導】
切換後的用戶角色隻對當前登錄生效,用戶重新登錄後,又會恢複到原有角色。
為了保證操作的安全性,通常用戶進行用戶角色切換時,均需要輸入用戶角色切換密碼。切換到不同的用戶角色時,需要輸入相應切換密碼。如果服務器沒有響應或者沒有配置用戶角色切換密碼,則切換操作失敗,若還有備份認證方案,則轉而進行備份認證。因此,在進行切換操作前,請先保證配置了正確的用戶角色切換密碼。
執行用戶角色切換命令後,請在60秒內輸入用戶名和密碼(是否需要輸入用戶名與認證方式有關),否則係統將會因為輸入超時而要求重新輸入。
在切換用戶角色時,需要注意的是:
· 若級別切換認證方式為local,在設備上未配置切換密碼的情況下,對於Console用戶,設備不關心用戶是否輸入切換密碼以及輸入切換密碼的內容,可允許用戶成功切換用戶角色。
· 若級別切換認證方式為local scheme,在設備上未配置切換密碼的情況下,對於Console或VTY用戶,則轉為遠程AAA認證。
【舉例】
# 將用戶角色切換到network-operator。(假設用戶當前的角色為network-admin,切換認證方式為local,切換密碼已經設置)
<Sysname> super network-operator
Password:
User privilege role is network-operator, and only those commands that authorized to the role can be used.
【相關命令】
· authentication super(用戶接入與認證命令參考/AAA)
· super authentication-mode
· super password
super authentication-mode命令用來設置切換用戶角色時使用的認證方式。
undo super authentication-mode命令用來恢複缺省情況。
【命令】
super authentication-mode { local | scheme } *
undo super authentication-mode
【缺省情況】
采用local認證方式。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
local:使用本地配置的用戶角色切換密碼進行認證。
scheme:使用AAA配置進行認證。
【使用指導】
使用本地密碼認證時,需要通過super password命令在設備上配置用戶角色切換的密碼。
使用遠程AAA認證時,需要在RADIUS或HWTACACS服務器上配置用戶名和用戶角色切換密碼。
用戶可以選擇使用local或者scheme方式認證,也可以同時選擇local和scheme方式,多選時根據配置順序依次認證。
· local scheme方式:先進行本地密碼認證,若設備上未設置本地用戶角色切換密碼,使用VTY用戶線登錄的用戶則轉為遠程AAA認證,使用Console用戶線登錄的用戶則可以成功切換用戶角色。
· scheme local方式:先進行遠程AAA認證,遠程HWTACACS/RADIUS服務器無響應或設備上的AAA遠程認證配置無效時,轉為本地密碼認證。
scheme認證方式需要與AAA 的認證方案相配合,具體請參考“用戶接入與認證配置指導”中的“AAA”。
【舉例】
# 配置切換用戶角色時采用local認證方式。
<Sysname> system-view
[Sysname] super authentication-mode local
# 配置切換用戶角色時采用先scheme後local的認證方式。
<Sysname> system-view
[Sysname] super authentication-mode scheme local
【相關命令】
· authentication super(用戶接入與認證命令參考/AAA)
· super password
super default role命令用來配置用戶角色切換的缺省目的角色。
undo super default role命令用來恢複缺省情況。
【命令】
super default role role-name
undo super default role
【缺省情況】
用戶角色切換的缺省目的角色為network-admin。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
role-name:待切換的用戶角色名稱,為1~63個字符的字符串,區分大小寫,可以是係統中已存在的除security-audit、guest-manager之外的任意用戶角色。
【使用指導】
當執行super命令切換用戶角色時,或配置用戶角色切換的密碼時,如不指定目的切換的角色名稱,則表示使用super default role命令配置的缺省用戶角色。
【舉例】
# 配置用戶切換角色的缺省目的角色為network-operator。
<Sysname> system-view
[Sysname] super default role network-operator
【相關命令】
· super
· super password
super password命令用來設置用戶角色切換的密碼。
undo super password命令用來刪除用戶角色切換密碼。
【命令】
super password [ role role-name ] [ { hash | simple } string ]
undo super password [ role role-name ]
【缺省情況】
未設置用戶角色切換密碼。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
role role-name:待切換的用戶角色的名稱,為1~63個字符的字符串,區分大小寫,可以為係統中已存在的除security-audit、guest-manager之外的任意用戶角色。如果不指定角色名稱,則表示設置的是切換到當前缺省目的用戶角色的密碼。缺省的目的用戶角色由super default role命令指定。
hash:以哈希方式設置密碼。
simple:以明文方式設置密碼,該密碼將以哈希計算後的密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~63個字符的字符串;哈希密碼為1~110個字符的字符串。
【使用指導】
如果不指定hash或simple參數,super password [ role role-name ]命令將以交互式方式設置本地用戶密碼,涵義與指定simple關鍵字相同。
當用戶切換認證方式為local或包含local(local scheme、scheme local)時,才需要本命令指定的用戶角色切換密碼。
為保證權限控製更加安全,推薦給不同的用戶角色指定不同的切換密碼。
在全局Password Control功能處於開啟的情況下,係統會持續記錄曆史密碼。以明文方式設置新的用戶角色切換密碼時,需要保證新密碼與所有曆史密碼和當前密碼不同。以哈希方式設置新的用戶角色切換密碼時,新密碼不會與曆史密碼和當前密碼進行比較,密碼可以相同也可以不同。
【舉例】
# 配置將用戶角色切換到network-operator時使用的密碼為明文密碼123456TESTplat&!。
<Sysname> system-view
[Sysname] super password role network-operator simple 123456TESTplat&!
# 以交互式方式設置將用戶角色切換到network-operator時使用的密碼為明文密碼123456TESTplat&!。
<Sysname> system-view
[Sysname] super password role network-operator
Password:
Confirm :
Updating user information. Please wait......
【相關命令】
· super authentication-mode
· super default role
super use-login-username命令用來配置用戶角色切換認證時使用用戶登錄的用戶名進行認證。
undo super use-login-username命令用來恢複缺省情況。
【命令】
super use-login-username
undo super use-login-username
【缺省情況】
用戶角色切換認證時係統提示用戶輸入用戶名進行認證。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
通過開啟本功能,在設備采用遠程AAA認證方案進行用戶角色切換認證,且用戶采用用戶名和密碼方式登錄設備的情況下,用戶切換用戶角色時,設備會自動獲取用戶登錄使用的用戶名作為角色切換認證的用戶名,不再提示用戶輸入用戶名。
開啟本功能後,若設備采用遠程AAA認證方案進行用戶角色切換認證,但用戶未采用用戶名和密碼方式登錄設備,則用戶角色切換失敗。
若設備未采用遠程AAA認證方案進行用戶角色切換認證,則本功能配置無效。
【舉例】
# 配置用戶角色切換認證時使用用戶登錄的用戶名進行認證。
<Sysname> system-view
[Sysname] super use-login-username
【相關命令】
· authentication super(用戶接入與認證命令參考/AAA)
· super authentication-mode
· super password
vlan policy deny命令用來進入VLAN策略視圖。
undo vlan policy deny命令用來恢複缺省情況。
【命令】
vlan policy deny
undo vlan policy deny
【缺省情況】
用戶具有操作任何VLAN的權限。
【視圖】
用戶角色視圖
【缺省用戶角色】
network-admin
【使用指導】
進入VLAN策略視圖後,如果不配置允許操作的VLAN列表,則用戶將沒有操作任何VLAN的權限;如果需要限製或區分用戶對VLAN資源的使用權限,則還應該通過permit vlan命令配置允許用戶操作的VLAN列表。
若VLAN策略視圖中未配置允許操作的VLAN列表,則表示不允許用戶操作所有的VLAN。對VLAN的“操作”指的是創建並進入VLAN視圖、刪除和應用VLAN。
允許修改用戶角色的VLAN策略,但修改後的策略隻對被授權該角色的用戶重新登錄時才會生效。
【舉例】
# 在用戶角色role1中,進入VLAN策略視圖,禁止角色為role1的用戶操作任意VLAN。
<Sysname> system-view
[Sysname] role name role1
[Sysname-role-role1] vlan policy deny
[Sysname-role-role1-vlanpolicy] quit
# 在用戶角色role1中,進入VLAN策略視圖,允許角色為role1的用戶操作VLAN 50~VLAN 100。
<Sysname> system-view
[Sysname] role name role1
[Sysname-role-role1] vlan policy deny
[Sysname-role-role1-vlanpolicy] permit vlan 50 to 100
【相關命令】
· display role
· permit vlan
· role
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
