• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

H3C園區盒式交換機 CLI快速配置指南-6W104

  • 發布時間:2025/5/12 19:56:54
  • 瀏覽量:
  • 下載量:

07-RBAC快速配置指南

本章節下載  (261.52 KB)

07-RBAC快速配置指南

RBAC快速配置指南

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2024 bobty下载软件 版權所有,保留一切權利。

非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。

除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。

本文檔中的信息可能變動,恕不另行通知。



1 配置用戶角色

1.1  簡介

本案例介紹用戶角色的配置方法。

1.2  組網需求

Telnet用戶主機與Switch相連,需要實現SwitchTelnet用戶進行本地認證並授權用戶角色。Telnet用戶的登錄用戶名為user1@bbb,認證通過後被授權的用戶角色為role1

role1具有如下用戶權限:

·     允許用戶執行所有特性中讀類型的命令;

·     允許用戶執行創建VLAN以及進入VLAN視圖後的相關命令,並隻具有操作VLAN 10~VLAN 20的權限。

圖1-1 Telnet用戶本地認證/授權配置組網圖

 

1.3  配置注意事項

·     一個ISP域被配置為缺省的ISP域後將不能夠被刪除,必須首先使用命令undo domain default enable將其修改為非缺省ISP域,然後才可以被刪除。

·     一個用戶角色中允許創建多條規則,各規則以創建時指定的編號為唯一標識,被授權該角色的用戶可以執行的命令為這些規則定義的可執行命令的並集。若這些規則定義的權限內容有衝突,則規則編號大的有效。例如,規則1允許執行命令A,規則2允許執行命令B,規則3禁止執行命令A,則最終規則2和規則3生效,即禁止執行命令A,允許執行命令B

1.4  配置步驟

# 設置交換機係統名稱為Switch。

<H3C> system-view

[H3C] sysname Switch

# 配置VLAN接口2的IP地址,Telnet用戶將通過該地址連接Switch。

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0

[Switch-Vlan-interface2] quit

# 開啟Switch的Telnet服務器功能。

[Switch] telnet server enable

# 配置Telnet用戶登錄采用AAA認證方式。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 配置ISP域bbb的AAA方法為本地認證和本地授權。

[Switch] domain bbb

[Switch-isp-bbb] authentication login local

[Switch-isp-bbb] authorization login local

[Switch-isp-bbb] quit

# 創建用戶角色role1。

[Switch] role name role1

# 配置用戶角色規則1,允許用戶執行所有特性中讀類型的命令。

[Switch-role-role1] rule 1 permit read feature

# 配置用戶角色規則2,允許用戶執行創建VLAN以及進入VLAN視圖後的相關命令。

[Switch-role-role1] rule 2 permit command system-view ; vlan *

# 進入VLAN策略視圖,允許用戶具有操作VLAN 10~VLAN 20的權限。

[Switch-role-role1] vlan policy deny

[Switch-role-role1-vlanpolicy] permit vlan 10 to 20

[Switch-role-role1-vlanpolicy] quit

[Switch-role-role1] quit

# 創建設備管理類本地用戶user1。

[Switch] local-user user1 class manage

# 配置用戶的密碼是明文的123456TESTplat&!。

[Switch-luser-manage-user1] password simple 123456TESTplat&!

# 指定用戶的服務類型是Telnet。

[Switch-luser-manage-user1] service-type telnet

# 指定用戶user1的授權角色為role1。

[Switch-luser-manage-user1] authorization-attribute user-role role1

# 為保證用戶僅使用授權的用戶角色role1,刪除用戶user1具有的缺省用戶角色network-operator。

[Switch-luser-manage-user1] undo authorization-attribute user-role network-operator

[Switch-luser-manage-user1] quit

1.5  驗證配置

用戶向設備發起Telnet連接,在Telnet客戶端按照提示輸入用戶名user1@bbb及正確的密碼後,成功登錄設備。

C:\Documents and Settings\user> telnet 192.168.1.50

login: user1@bbb

Password:

******************************************************************************

* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<Switch>

登錄用戶並被授予用戶角色role1,具有相應的命令行執行權限。可通過如下步驟驗證用戶的權限:

·     可操作VLAN 10~VLAN 20。(以創建VLAN 10為例)

<Switch> system-view

[Switch] vlan 10

[Switch-vlan10] quit

·     不能操作其它VLAN。(以創建VLAN 30為例)

[Switch] vlan 30

Permission denied.

·     可執行所有特性中讀類型的命令。(以display clock為例)

[Switch] display clock

09:31:56.258 UTC Sat 01/01/2017

[Switch] quit

·     不能執行特性中寫類型和執行類型的命令。

<Switch> debugging role all

Permission denied.

<Switch> ping 192.168.1.58

Permission denied.

1.6  配置文件

#

 sysname Switch

#

 telnet server enable

#

vlan 2

#

interface Vlan-interface2

 ip address 192.168.1.50 255.255.255.0

#

line vty 0 63

 authentication-mode scheme

#

domain bbb

 authentication login local

 authorization login local

#

role name role1

 rule 1 permit read feature

 rule 2 permit command system-view ; vlan *

 vlan policy deny

 permit vlan 10 to 20

#

local-user user1 class manage

 password hash $h$6$3nDcf1enrif2H0W6$QUWsXcld9MjeCMWGlkU6qleuV3WqFFEE8i2TTSoFRL3

ENZ2ExkhXZZrRmOl3pblfbje6fim7vV+u5FbCif+SjA==

 service-type telnet

 authorization-attribute user-role role1

 undo authorization-attribute user-role network-operator

#

1.7  相關資料

·     產品配套“基礎配置指導”中的“RBAC”。

·     產品配套“基礎命令參考”中的“RBAC”。


 

2 切換用戶角色

2.1  簡介

本案例介紹切換用戶角色的配置方法。

2.2  組網需求

為了加強用戶登錄的安全性,采用本地AAA認證對登錄設備的Telnet用戶進行認證。登錄設備的Telnet用戶能夠進行用戶角色的切換,即在不下線的情況下,臨時改變自身對係統的操作權限。當前Telnet用戶被授權為用戶角色role1,用戶角色role1具有如下權限:

·     允許執行係統預定義特性組L3相關的所有命令。

·     允許執行所有以display開頭的命令。

·     允許執行所有以super開頭的命令。

·     具有所有接口、VLAN和VPN實例資源的操作權限。

現要求,Telnet用戶能夠被切換到用戶角色role2和network-operator,其中用戶角色role2具有如下權限:

·     允許執行係統預定義特性組L2相關的所有命令。

·     具有所有接口、VLAN和VPN實例資源的操作權限。

圖2-1 切換用戶角色權限配置組網圖

 

2.3  配置注意事項

·     一個ISP域被配置為缺省的ISP域後將不能夠被刪除,必須首先使用命令undo domain default enable將其修改為非缺省ISP域,然後才可以被刪除。

·     一個用戶角色中允許創建多條規則,各規則以創建時指定的編號為唯一標識,被授權該角色的用戶可以執行的命令為這些規則定義的可執行命令的並集。若這些規則定義的權限內容有衝突,則規則編號大的有效。例如,規則1允許執行命令A,規則2允許執行命令B,規則3禁止執行命令A,則最終規則2和規則3生效,即禁止執行命令A,允許執行命令B。

·     切換後的用戶角色隻對當前登錄生效,用戶重新登錄後,又會恢複到原有用戶角色。

2.4  配置步驟

# 設置交換機係統名稱為Switch。

<H3C> system-view

[H3C] sysname Switch

# 創建VLAN 2並將Switch連接Telnet user的端口劃分到VLAN 2中。

[Switch] vlan 2

[Switch-vlan2] quit

[Switch] interface GigabitEthernet1/0/10

[Switch-GigabitEthernet1/0/10] port access vlan 2

[Switch-GigabitEthernet1/0/10] quit

# 創建VLAN接口2並配置IP地址。

[Switch] interface Vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.50 24

# 開啟設備的Telnet服務器功能。

[Switch] telnet server enable

# 在編號為0~63的VTY用戶線下,配置Telnet用戶登錄采用AAA認證方式。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 配置ISP域bbb的AAA方法為本地認證和本地授權。

[Switch] domain bbb

[Switch-isp-bbb] authentication login local

[Switch-isp-bbb] authorization login local

[Switch-isp-bbb] quit

# 創建用戶角色role1,進入用戶角色視圖。

[Switch] role name role1

# 配置用戶角色規則1,允許用戶執行預定義特性組L3相關的所有命令。

[Switch-role-role1] rule 1 permit execute read write feature-group L3

# 配置用戶角色規則2,允許用戶執行所有以display開頭的命令。

[Switch-role-role1] rule 2 permit command display *

# 配置用戶角色規則3,允許用戶執行所有以super開頭的命令。

[Switch-role-role1] rule 3 permit command super *

[Switch-role-role1] quit

# 創建用戶角色role2,進入用戶角色視圖。

[Switch] role name role2

# 配置用戶角色規則1,允許用戶執行預定義特性組L2相關的所有命令。

[Switch-role-role2] rule 1 permit execute read write feature-group L2

[Switch-role-role2] quit

# 創建設備管理類本地用戶telnetuser。

[Switch] local-user telnetuser class manage

# 配置用戶的密碼是明文的aabbcc。

[Switch-luser-manage-telnetuser] password simple aabbcc

# 指定用戶的服務類型是Telnet。

[Switch-luser-manage-telnetuser] service-type telnet

# 指定用戶telnetuser的授權角色為role1。

[Switch-luser-manage-telnetuser] authorization-attribute user-role role1

# 為保證用戶僅使用授權的用戶角色role1,刪除用戶telnetuser具有的缺省用戶角色network-operator。

[Switch-luser-manage-telnetuser] undo authorization-attribute user-role network-operator

[Switch-luser-manage-telnetuser] quit

# 配置Telnet用戶切換用戶角色時采用local認證方式(係統缺省值為local)。

[Switch] super authentication-mode local

# 配置Telnet用戶將用戶角色切換到role2時使用的密碼為明文密碼123456TESTplat&!。

[Switch] super password role role2 simple 123456TESTplat&!

# 配置Telnet用戶將用戶角色切換到network-operator時使用的密碼為明文密碼987654TESTplat&!。

[Switch] super password role network-operator simple 987654TESTplat&!

2.5  驗證配置

(1)     查看用戶角色和特性組信息

通過display role命令查看用戶角色role1、role2和network-operator的信息。

# 顯示用戶角色role1的信息。

<Switch> display role name role1

Role: role1

  Description:

  VLAN policy: permit (default)

  Interface policy: permit (default)

  VPN instance policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  1       permit RWX   feature-group L3

  2       permit       command       display *

  3       permit       command       super *

  R:Read W:Write X:Execute

# 顯示用戶角色role2的信息。

<Switch> display role name role2

Role: role2

  Description:

  VLAN policy: permit (default)

  Interface policy: permit (default)

  VPN instance policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  1       permit RWX   feature-group L2

  R:Read W:Write X:Execute

# 顯示用戶角色network-operator的信息。

<Switch> display role name network-operator

Role: network-operator

  Description: Predefined network operator role has access to all read commands

on the device

  VLAN policy: permit (default)

  Interface policy: permit (default)

  VPN instance policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  sys-1   permit       command       display *

  sys-2   permit       command       xml

  sys-3   permit       command       system-view ; probe ; display *

  sys-4   deny         command       display history-command all

  sys-5   deny         command       display exception *

  sys-6   deny         command       display cpu-usage configuration

                                     *

  sys-7   deny         command       display kernel exception *

  sys-8   deny         command       display kernel deadloop *

  sys-9   deny         command       display kernel starvation *

  sys-10  deny         command       display kernel reboot *

  sys-13  permit       command       system-view ; local-user *

  sys-16  permit R--   web-menu      -

  sys-17  permit RW-   web-menu      m_device/m_maintenance/m_changep

                                     assword

  sys-18  permit R--   xml-element   -

  sys-19  deny         command       display security-logfile summary

  sys-20  deny         command       display security-logfile buffer

  sys-21  deny         command       system-view ; info-center securi

                                     ty-logfile directory *

  sys-22  deny         command       security-logfile save

  sys-23  deny         command       system-view ; local-user-import

                                     *

  sys-24  deny         command       system-view ; local-user-export

                                     *

  sys-25  permit R--   oid           1

  R:Read W:Write X:Execute

 通過display role feature-group命令查看特性組L2和L3中包括的特性信息,此處不詳細介紹。

(2)     用戶登錄設備

用戶向設備發起Telnet連接,在Telnet客戶端按照提示輸入用戶名telnetuser@bbb及正確的密碼後,成功登錄設備。

C:\Documents and Settings\user> telnet 192.168.1.50

login: telnetuser@bbb

Password:

******************************************************************************

* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<Switch>

(3)     驗證切換用戶角色前的用戶權限

Telnet用戶成功登錄設備後,可通過如下步驟驗證用戶的權限:

¡     可執行特性組L3中特性相關的所有命令。(以創建VPN實例vpn1為例)

<Switch> system-view

[Switch] ip vpn-instance vpn1

¡     可執行所有以display開頭的命令。(以顯示係統當前日期和時間為例)

<Switch> display clock

13:53:24.357 test Sat 01/01/2018

Time Zone : test add 05:00:00

Summer Time : PDT 06:00:00 08/01 06:00:00 09/01 01:00:00

(4)     驗證切換用戶角色

Telnet用戶成功登錄設備後,可通過如下步驟驗證用戶的權限:

a.     在用戶視圖下使用super開頭的命令。(以切換到用戶角色role2並輸入相應的切換密碼為例)

<Switch> super role2

Password:

User privilege role is role2, and only those commands that authorized to the role can be used.

<Switch>

b.     切換到用戶角色role2後,可執行特性組L2中特性相關的所有命令。(以創建VLAN 10為例)

<Switch> system-view

[Switch] vlan 10

[Switch-vlan10] quit

[Switch] quit

c.     切換到用戶角色role2後,不能執行非特性組L2中特性相關的命令。(以切換到用戶角色network-operator為例)

<Switch> super network-operator

Permission denied.

d.     切換到用戶角色role2後,不能執行以display開頭的命令。(以顯示係統當前日期和時間為例)

<Switch> display clock

Permission denied.

e.     Telnet用戶重新登錄設備後,才能執行所有以super開頭的命令。(以切換到用戶角色network-operator並輸入相應的切換密碼為例)

C:\Documents and Settings\user> telnet 192.168.1.50

login: telnetuser@bbb

Password:

******************************************************************************

* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<Switch>

<Switch> super network-operator

Password:

User privilege role is network-operator, and only those commands that authorized

 to the role can be used.

<Switch>

通過顯示信息可以確認配置生效。

2.6  配置文件

#

 sysname Switch

#

 telnet server enable

#

vlan 2

#

interface Vlan-interface2

 ip address 192.168.1.50 255.255.255.0

#

interface GigabitEthernet1/0/10

port access vlan 2

#

line vty 0 63

 authentication-mode scheme

 user-role network-operator

#

 super password role role2 hash $h$6$D0kjHFktkktzgR5g$e673xFnIcKytCj6EDAw+pvwgh3

/ung3WNWHnrUTnXT862B+s7PaLfKTdil8ef71RBOvuJvPAZHjiLjrMPyWHQw==

 super password role network-operator hash $h$6$3s5KMmscn9hJ6gPx$IcxbNjUc8u4yxwR

m87b/Jki8BoPAxw/s5bEcPQjQj/cbbXwTVcnQGL91WOd7ssO2rX/wKzfyzAO5VhBTn9Q4zQ==

#

domain bbb

 authentication login local

 authorization login local

#

role name role1

 rule 1 permit read write execute feature-group L3

 rule 2 permit command display *

 rule 3 permit command super *

#

role name role2

 rule 1 permit read write execute feature-group L2

#

 local-user telnetuser class manage

 password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4

kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==

 service-type telnet

 authorization-attribute user-role role1

#

2.7  相關資料

·     產品配套“基礎配置指導”中的“RBAC”。

·     產品配套“基礎命令參考”中的“RBAC”。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們