07-RBAC快速配置指南
本章節下載 (261.52 KB)
RBAC快速配置指南
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
目 錄
本案例介紹用戶角色的配置方法。
Telnet用戶主機與Switch相連,需要實現Switch對Telnet用戶進行本地認證並授權用戶角色。Telnet用戶的登錄用戶名為user1@bbb,認證通過後被授權的用戶角色為role1。
role1具有如下用戶權限:
· 允許用戶執行所有特性中讀類型的命令;
· 允許用戶執行創建VLAN以及進入VLAN視圖後的相關命令,並隻具有操作VLAN 10~VLAN 20的權限。
圖1-1 Telnet用戶本地認證/授權配置組網圖
· 一個ISP域被配置為缺省的ISP域後將不能夠被刪除,必須首先使用命令undo domain default enable將其修改為非缺省ISP域,然後才可以被刪除。
· 一個用戶角色中允許創建多條規則,各規則以創建時指定的編號為唯一標識,被授權該角色的用戶可以執行的命令為這些規則定義的可執行命令的並集。若這些規則定義的權限內容有衝突,則規則編號大的有效。例如,規則1允許執行命令A,規則2允許執行命令B,規則3禁止執行命令A,則最終規則2和規則3生效,即禁止執行命令A,允許執行命令B。
# 設置交換機係統名稱為Switch。
<H3C> system-view
[H3C] sysname Switch
# 配置VLAN接口2的IP地址,Telnet用戶將通過該地址連接Switch。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0
[Switch-Vlan-interface2] quit
# 開啟Switch的Telnet服務器功能。
[Switch] telnet server enable
# 配置Telnet用戶登錄采用AAA認證方式。
[Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit
# 配置ISP域bbb的AAA方法為本地認證和本地授權。
[Switch] domain bbb
[Switch-isp-bbb] authentication login local
[Switch-isp-bbb] authorization login local
[Switch-isp-bbb] quit
# 創建用戶角色role1。
[Switch] role name role1
# 配置用戶角色規則1,允許用戶執行所有特性中讀類型的命令。
[Switch-role-role1] rule 1 permit read feature
# 配置用戶角色規則2,允許用戶執行創建VLAN以及進入VLAN視圖後的相關命令。
[Switch-role-role1] rule 2 permit command system-view ; vlan *
# 進入VLAN策略視圖,允許用戶具有操作VLAN 10~VLAN 20的權限。
[Switch-role-role1] vlan policy deny
[Switch-role-role1-vlanpolicy] permit vlan 10 to 20
[Switch-role-role1-vlanpolicy] quit
[Switch-role-role1] quit
# 創建設備管理類本地用戶user1。
[Switch] local-user user1 class manage
# 配置用戶的密碼是明文的123456TESTplat&!。
[Switch-luser-manage-user1] password simple 123456TESTplat&!
# 指定用戶的服務類型是Telnet。
[Switch-luser-manage-user1] service-type telnet
# 指定用戶user1的授權角色為role1。
[Switch-luser-manage-user1] authorization-attribute user-role role1
# 為保證用戶僅使用授權的用戶角色role1,刪除用戶user1具有的缺省用戶角色network-operator。
[Switch-luser-manage-user1] undo authorization-attribute user-role network-operator
[Switch-luser-manage-user1] quit
用戶向設備發起Telnet連接,在Telnet客戶端按照提示輸入用戶名user1@bbb及正確的密碼後,成功登錄設備。
C:\Documents and Settings\user> telnet 192.168.1.50
login: user1@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Switch>
登錄用戶並被授予用戶角色role1,具有相應的命令行執行權限。可通過如下步驟驗證用戶的權限:
· 可操作VLAN 10~VLAN 20。(以創建VLAN 10為例)
<Switch> system-view
[Switch] vlan 10
[Switch-vlan10] quit
· 不能操作其它VLAN。(以創建VLAN 30為例)
[Switch] vlan 30
Permission denied.
· 可執行所有特性中讀類型的命令。(以display clock為例)
[Switch] display clock
09:31:56.258 UTC Sat 01/01/2017
[Switch] quit
· 不能執行特性中寫類型和執行類型的命令。
<Switch> debugging role all
Permission denied.
<Switch> ping 192.168.1.58
Permission denied.
#
sysname Switch
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
line vty 0 63
authentication-mode scheme
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read feature
rule 2 permit command system-view ; vlan *
vlan policy deny
permit vlan 10 to 20
#
local-user user1 class manage
password hash $h$6$3nDcf1enrif2H0W6$QUWsXcld9MjeCMWGlkU6qleuV3WqFFEE8i2TTSoFRL3
ENZ2ExkhXZZrRmOl3pblfbje6fim7vV+u5FbCif+SjA==
service-type telnet
authorization-attribute user-role role1
undo authorization-attribute user-role network-operator
#
· 產品配套“基礎配置指導”中的“RBAC”。
· 產品配套“基礎命令參考”中的“RBAC”。
本案例介紹切換用戶角色的配置方法。
為了加強用戶登錄的安全性,采用本地AAA認證對登錄設備的Telnet用戶進行認證。登錄設備的Telnet用戶能夠進行用戶角色的切換,即在不下線的情況下,臨時改變自身對係統的操作權限。當前Telnet用戶被授權為用戶角色role1,用戶角色role1具有如下權限:
· 允許執行係統預定義特性組L3相關的所有命令。
· 允許執行所有以display開頭的命令。
· 允許執行所有以super開頭的命令。
· 具有所有接口、VLAN和VPN實例資源的操作權限。
現要求,Telnet用戶能夠被切換到用戶角色role2和network-operator,其中用戶角色role2具有如下權限:
· 允許執行係統預定義特性組L2相關的所有命令。
· 具有所有接口、VLAN和VPN實例資源的操作權限。
· 一個ISP域被配置為缺省的ISP域後將不能夠被刪除,必須首先使用命令undo domain default enable將其修改為非缺省ISP域,然後才可以被刪除。
· 一個用戶角色中允許創建多條規則,各規則以創建時指定的編號為唯一標識,被授權該角色的用戶可以執行的命令為這些規則定義的可執行命令的並集。若這些規則定義的權限內容有衝突,則規則編號大的有效。例如,規則1允許執行命令A,規則2允許執行命令B,規則3禁止執行命令A,則最終規則2和規則3生效,即禁止執行命令A,允許執行命令B。
· 切換後的用戶角色隻對當前登錄生效,用戶重新登錄後,又會恢複到原有用戶角色。
# 設置交換機係統名稱為Switch。
<H3C> system-view
[H3C] sysname Switch
# 創建VLAN 2並將Switch連接Telnet user的端口劃分到VLAN 2中。
[Switch] vlan 2
[Switch-vlan2] quit
[Switch] interface GigabitEthernet1/0/10
[Switch-GigabitEthernet1/0/10] port access vlan 2
[Switch-GigabitEthernet1/0/10] quit
# 創建VLAN接口2並配置IP地址。
[Switch] interface Vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.50 24
# 開啟設備的Telnet服務器功能。
[Switch] telnet server enable
# 在編號為0~63的VTY用戶線下,配置Telnet用戶登錄采用AAA認證方式。
[Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit
# 配置ISP域bbb的AAA方法為本地認證和本地授權。
[Switch] domain bbb
[Switch-isp-bbb] authentication login local
[Switch-isp-bbb] authorization login local
[Switch-isp-bbb] quit
# 創建用戶角色role1,進入用戶角色視圖。
[Switch] role name role1
# 配置用戶角色規則1,允許用戶執行預定義特性組L3相關的所有命令。
[Switch-role-role1] rule 1 permit execute read write feature-group L3
# 配置用戶角色規則2,允許用戶執行所有以display開頭的命令。
[Switch-role-role1] rule 2 permit command display *
# 配置用戶角色規則3,允許用戶執行所有以super開頭的命令。
[Switch-role-role1] rule 3 permit command super *
[Switch-role-role1] quit
# 創建用戶角色role2,進入用戶角色視圖。
[Switch] role name role2
# 配置用戶角色規則1,允許用戶執行預定義特性組L2相關的所有命令。
[Switch-role-role2] rule 1 permit execute read write feature-group L2
[Switch-role-role2] quit
# 創建設備管理類本地用戶telnetuser。
[Switch] local-user telnetuser class manage
# 配置用戶的密碼是明文的aabbcc。
[Switch-luser-manage-telnetuser] password simple aabbcc
# 指定用戶的服務類型是Telnet。
[Switch-luser-manage-telnetuser] service-type telnet
# 指定用戶telnetuser的授權角色為role1。
[Switch-luser-manage-telnetuser] authorization-attribute user-role role1
# 為保證用戶僅使用授權的用戶角色role1,刪除用戶telnetuser具有的缺省用戶角色network-operator。
[Switch-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Switch-luser-manage-telnetuser] quit
# 配置Telnet用戶切換用戶角色時采用local認證方式(係統缺省值為local)。
[Switch] super authentication-mode local
# 配置Telnet用戶將用戶角色切換到role2時使用的密碼為明文密碼123456TESTplat&!。
[Switch] super password role role2 simple 123456TESTplat&!
# 配置Telnet用戶將用戶角色切換到network-operator時使用的密碼為明文密碼987654TESTplat&!。
[Switch] super password role network-operator simple 987654TESTplat&!
(1) 查看用戶角色和特性組信息
通過display role命令查看用戶角色role1、role2和network-operator的信息。
# 顯示用戶角色role1的信息。
<Switch> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L3
2 permit command display *
3 permit command super *
R:Read W:Write X:Execute
# 顯示用戶角色role2的信息。
<Switch> display role name role2
Role: role2
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L2
R:Read W:Write X:Execute
# 顯示用戶角色network-operator的信息。
<Switch> display role name network-operator
Role: network-operator
Description: Predefined network operator role has access to all read commands
on the device
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command display *
sys-2 permit command xml
sys-3 permit command system-view ; probe ; display *
sys-4 deny command display history-command all
sys-5 deny command display exception *
sys-6 deny command display cpu-usage configuration
*
sys-7 deny command display kernel exception *
sys-8 deny command display kernel deadloop *
sys-9 deny command display kernel starvation *
sys-10 deny command display kernel reboot *
sys-13 permit command system-view ; local-user *
sys-16 permit R-- web-menu -
sys-17 permit RW- web-menu m_device/m_maintenance/m_changep
assword
sys-18 permit R-- xml-element -
sys-19 deny command display security-logfile summary
sys-20 deny command display security-logfile buffer
sys-21 deny command system-view ; info-center securi
ty-logfile directory *
sys-22 deny command security-logfile save
sys-23 deny command system-view ; local-user-import
*
sys-24 deny command system-view ; local-user-export
*
sys-25 permit R-- oid 1
R:Read W:Write X:Execute
通過display role feature-group命令查看特性組L2和L3中包括的特性信息,此處不詳細介紹。
(2) 用戶登錄設備
用戶向設備發起Telnet連接,在Telnet客戶端按照提示輸入用戶名telnetuser@bbb及正確的密碼後,成功登錄設備。
C:\Documents and Settings\user> telnet 192.168.1.50
login: telnetuser@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Switch>
(3) 驗證切換用戶角色前的用戶權限
Telnet用戶成功登錄設備後,可通過如下步驟驗證用戶的權限:
¡ 可執行特性組L3中特性相關的所有命令。(以創建VPN實例vpn1為例)
<Switch> system-view
[Switch] ip vpn-instance vpn1
¡ 可執行所有以display開頭的命令。(以顯示係統當前日期和時間為例)
<Switch> display clock
13:53:24.357 test Sat 01/01/2018
Time Zone : test add 05:00:00
Summer Time : PDT 06:00:00 08/01 06:00:00 09/01 01:00:00
(4) 驗證切換用戶角色
Telnet用戶成功登錄設備後,可通過如下步驟驗證用戶的權限:
a. 在用戶視圖下使用super開頭的命令。(以切換到用戶角色role2並輸入相應的切換密碼為例)
<Switch> super role2
Password:
User privilege role is role2, and only those commands that authorized to the role can be used.
<Switch>
b. 切換到用戶角色role2後,可執行特性組L2中特性相關的所有命令。(以創建VLAN 10為例)
<Switch> system-view
[Switch] vlan 10
[Switch-vlan10] quit
[Switch] quit
c. 切換到用戶角色role2後,不能執行非特性組L2中特性相關的命令。(以切換到用戶角色network-operator為例)
<Switch> super network-operator
Permission denied.
d. 切換到用戶角色role2後,不能執行以display開頭的命令。(以顯示係統當前日期和時間為例)
<Switch> display clock
Permission denied.
e. Telnet用戶重新登錄設備後,才能執行所有以super開頭的命令。(以切換到用戶角色network-operator並輸入相應的切換密碼為例)
C:\Documents and Settings\user> telnet 192.168.1.50
login: telnetuser@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Switch>
<Switch> super network-operator
Password:
User privilege role is network-operator, and only those commands that authorized
to the role can be used.
<Switch>
通過顯示信息可以確認配置生效。
#
sysname Switch
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface GigabitEthernet1/0/10
port access vlan 2
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
super password role role2 hash $h$6$D0kjHFktkktzgR5g$e673xFnIcKytCj6EDAw+pvwgh3
/ung3WNWHnrUTnXT862B+s7PaLfKTdil8ef71RBOvuJvPAZHjiLjrMPyWHQw==
super password role network-operator hash $h$6$3s5KMmscn9hJ6gPx$IcxbNjUc8u4yxwR
m87b/Jki8BoPAxw/s5bEcPQjQj/cbbXwTVcnQGL91WOd7ssO2rX/wKzfyzAO5VhBTn9Q4zQ==
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write execute feature-group L3
rule 2 permit command display *
rule 3 permit command super *
#
role name role2
rule 1 permit read write execute feature-group L2
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
· 產品配套“基礎配置指導”中的“RBAC”。
· 產品配套“基礎命令參考”中的“RBAC”。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!