- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
07-RBAC快速配置指南
本章节下载 (261.52 KB)
RBAC快速配置指南
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本案例介绍用户角色的配置方法。
Telnet用户主机与Switch相连,需要实现Switch对Telnet用户进行本地认证并授权用户角色。Telnet用户的登录用户名为user1@bbb,认证通过后被授权的用户角色为role1。
role1具有如下用户权限:
· 允许用户执行所有特性中读类型的命令;
· 允许用户执行创建VLAN以及进入VLAN视图后的相关命令,并只具有操作VLAN 10~VLAN 20的权限。
图1-1 Telnet用户本地认证/授权配置组网图
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
# 设置交换机系统名称为Switch。
<H3C> system-view
[H3C] sysname Switch
# 配置VLAN接口2的IP地址,Telnet用户将通过该地址连接Switch。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0
[Switch-Vlan-interface2] quit
# 开启Switch的Telnet服务器功能。
[Switch] telnet server enable
# 配置Telnet用户登录采用AAA认证方式。
[Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit
# 配置ISP域bbb的AAA方法为本地认证和本地授权。
[Switch] domain bbb
[Switch-isp-bbb] authentication login local
[Switch-isp-bbb] authorization login local
[Switch-isp-bbb] quit
# 创建用户角色role1。
[Switch] role name role1
# 配置用户角色规则1,允许用户执行所有特性中读类型的命令。
[Switch-role-role1] rule 1 permit read feature
# 配置用户角色规则2,允许用户执行创建VLAN以及进入VLAN视图后的相关命令。
[Switch-role-role1] rule 2 permit command system-view ; vlan *
# 进入VLAN策略视图,允许用户具有操作VLAN 10~VLAN 20的权限。
[Switch-role-role1] vlan policy deny
[Switch-role-role1-vlanpolicy] permit vlan 10 to 20
[Switch-role-role1-vlanpolicy] quit
[Switch-role-role1] quit
# 创建设备管理类本地用户user1。
[Switch] local-user user1 class manage
# 配置用户的密码是明文的123456TESTplat&!。
[Switch-luser-manage-user1] password simple 123456TESTplat&!
# 指定用户的服务类型是Telnet。
[Switch-luser-manage-user1] service-type telnet
# 指定用户user1的授权角色为role1。
[Switch-luser-manage-user1] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户user1具有的缺省用户角色network-operator。
[Switch-luser-manage-user1] undo authorization-attribute user-role network-operator
[Switch-luser-manage-user1] quit
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名user1@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
login: user1@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Switch>
登录用户并被授予用户角色role1,具有相应的命令行执行权限。可通过如下步骤验证用户的权限:
· 可操作VLAN 10~VLAN 20。(以创建VLAN 10为例)
<Switch> system-view
[Switch] vlan 10
[Switch-vlan10] quit
· 不能操作其它VLAN。(以创建VLAN 30为例)
[Switch] vlan 30
Permission denied.
· 可执行所有特性中读类型的命令。(以display clock为例)
[Switch] display clock
09:31:56.258 UTC Sat 01/01/2017
[Switch] quit
· 不能执行特性中写类型和执行类型的命令。
<Switch> debugging role all
Permission denied.
<Switch> ping 192.168.1.58
Permission denied.
#
sysname Switch
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
line vty 0 63
authentication-mode scheme
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read feature
rule 2 permit command system-view ; vlan *
vlan policy deny
permit vlan 10 to 20
#
local-user user1 class manage
password hash $h$6$3nDcf1enrif2H0W6$QUWsXcld9MjeCMWGlkU6qleuV3WqFFEE8i2TTSoFRL3
ENZ2ExkhXZZrRmOl3pblfbje6fim7vV+u5FbCif+SjA==
service-type telnet
authorization-attribute user-role role1
undo authorization-attribute user-role network-operator
#
· 产品配套“基础配置指导”中的“RBAC”。
· 产品配套“基础命令参考”中的“RBAC”。
本案例介绍切换用户角色的配置方法。
为了加强用户登录的安全性,采用本地AAA认证对登录设备的Telnet用户进行认证。登录设备的Telnet用户能够进行用户角色的切换,即在不下线的情况下,临时改变自身对系统的操作权限。当前Telnet用户被授权为用户角色role1,用户角色role1具有如下权限:
· 允许执行系统预定义特性组L3相关的所有命令。
· 允许执行所有以display开头的命令。
· 允许执行所有以super开头的命令。
· 具有所有接口、VLAN和VPN实例资源的操作权限。
现要求,Telnet用户能够被切换到用户角色role2和network-operator,其中用户角色role2具有如下权限:
· 允许执行系统预定义特性组L2相关的所有命令。
· 具有所有接口、VLAN和VPN实例资源的操作权限。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
· 切换后的用户角色只对当前登录生效,用户重新登录后,又会恢复到原有用户角色。
# 设置交换机系统名称为Switch。
<H3C> system-view
[H3C] sysname Switch
# 创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。
[Switch] vlan 2
[Switch-vlan2] quit
[Switch] interface GigabitEthernet1/0/10
[Switch-GigabitEthernet1/0/10] port access vlan 2
[Switch-GigabitEthernet1/0/10] quit
# 创建VLAN接口2并配置IP地址。
[Switch] interface Vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.50 24
# 开启设备的Telnet服务器功能。
[Switch] telnet server enable
# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。
[Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit
# 配置ISP域bbb的AAA方法为本地认证和本地授权。
[Switch] domain bbb
[Switch-isp-bbb] authentication login local
[Switch-isp-bbb] authorization login local
[Switch-isp-bbb] quit
# 创建用户角色role1,进入用户角色视图。
[Switch] role name role1
# 配置用户角色规则1,允许用户执行预定义特性组L3相关的所有命令。
[Switch-role-role1] rule 1 permit execute read write feature-group L3
# 配置用户角色规则2,允许用户执行所有以display开头的命令。
[Switch-role-role1] rule 2 permit command display *
# 配置用户角色规则3,允许用户执行所有以super开头的命令。
[Switch-role-role1] rule 3 permit command super *
[Switch-role-role1] quit
# 创建用户角色role2,进入用户角色视图。
[Switch] role name role2
# 配置用户角色规则1,允许用户执行预定义特性组L2相关的所有命令。
[Switch-role-role2] rule 1 permit execute read write feature-group L2
[Switch-role-role2] quit
# 创建设备管理类本地用户telnetuser。
[Switch] local-user telnetuser class manage
# 配置用户的密码是明文的aabbcc。
[Switch-luser-manage-telnetuser] password simple aabbcc
# 指定用户的服务类型是Telnet。
[Switch-luser-manage-telnetuser] service-type telnet
# 指定用户telnetuser的授权角色为role1。
[Switch-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Switch-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Switch-luser-manage-telnetuser] quit
# 配置Telnet用户切换用户角色时采用local认证方式(系统缺省值为local)。
[Switch] super authentication-mode local
# 配置Telnet用户将用户角色切换到role2时使用的密码为明文密码123456TESTplat&!。
[Switch] super password role role2 simple 123456TESTplat&!
# 配置Telnet用户将用户角色切换到network-operator时使用的密码为明文密码987654TESTplat&!。
[Switch] super password role network-operator simple 987654TESTplat&!
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1、role2和network-operator的信息。
# 显示用户角色role1的信息。
<Switch> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L3
2 permit command display *
3 permit command super *
R:Read W:Write X:Execute
# 显示用户角色role2的信息。
<Switch> display role name role2
Role: role2
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L2
R:Read W:Write X:Execute
# 显示用户角色network-operator的信息。
<Switch> display role name network-operator
Role: network-operator
Description: Predefined network operator role has access to all read commands
on the device
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command display *
sys-2 permit command xml
sys-3 permit command system-view ; probe ; display *
sys-4 deny command display history-command all
sys-5 deny command display exception *
sys-6 deny command display cpu-usage configuration
*
sys-7 deny command display kernel exception *
sys-8 deny command display kernel deadloop *
sys-9 deny command display kernel starvation *
sys-10 deny command display kernel reboot *
sys-13 permit command system-view ; local-user *
sys-16 permit R-- web-menu -
sys-17 permit RW- web-menu m_device/m_maintenance/m_changep
assword
sys-18 permit R-- xml-element -
sys-19 deny command display security-logfile summary
sys-20 deny command display security-logfile buffer
sys-21 deny command system-view ; info-center securi
ty-logfile directory *
sys-22 deny command security-logfile save
sys-23 deny command system-view ; local-user-import
*
sys-24 deny command system-view ; local-user-export
*
sys-25 permit R-- oid 1
R:Read W:Write X:Execute
通过display role feature-group命令查看特性组L2和L3中包括的特性信息,此处不详细介绍。
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
login: telnetuser@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Switch>
(3) 验证切换用户角色前的用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
¡ 可执行特性组L3中特性相关的所有命令。(以创建VPN实例vpn1为例)
<Switch> system-view
[Switch] ip vpn-instance vpn1
¡ 可执行所有以display开头的命令。(以显示系统当前日期和时间为例)
<Switch> display clock
13:53:24.357 test Sat 01/01/2018
Time Zone : test add 05:00:00
Summer Time : PDT 06:00:00 08/01 06:00:00 09/01 01:00:00
(4) 验证切换用户角色
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
a. 在用户视图下使用super开头的命令。(以切换到用户角色role2并输入相应的切换密码为例)
<Switch> super role2
Password:
User privilege role is role2, and only those commands that authorized to the role can be used.
<Switch>
b. 切换到用户角色role2后,可执行特性组L2中特性相关的所有命令。(以创建VLAN 10为例)
<Switch> system-view
[Switch] vlan 10
[Switch-vlan10] quit
[Switch] quit
c. 切换到用户角色role2后,不能执行非特性组L2中特性相关的命令。(以切换到用户角色network-operator为例)
<Switch> super network-operator
Permission denied.
d. 切换到用户角色role2后,不能执行以display开头的命令。(以显示系统当前日期和时间为例)
<Switch> display clock
Permission denied.
e. Telnet用户重新登录设备后,才能执行所有以super开头的命令。(以切换到用户角色network-operator并输入相应的切换密码为例)
C:\Documents and Settings\user> telnet 192.168.1.50
login: telnetuser@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Switch>
<Switch> super network-operator
Password:
User privilege role is network-operator, and only those commands that authorized
to the role can be used.
<Switch>
通过显示信息可以确认配置生效。
#
sysname Switch
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface GigabitEthernet1/0/10
port access vlan 2
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
super password role role2 hash $h$6$D0kjHFktkktzgR5g$e673xFnIcKytCj6EDAw+pvwgh3
/ung3WNWHnrUTnXT862B+s7PaLfKTdil8ef71RBOvuJvPAZHjiLjrMPyWHQw==
super password role network-operator hash $h$6$3s5KMmscn9hJ6gPx$IcxbNjUc8u4yxwR
m87b/Jki8BoPAxw/s5bEcPQjQj/cbbXwTVcnQGL91WOd7ssO2rX/wKzfyzAO5VhBTn9Q4zQ==
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write execute feature-group L3
rule 2 permit command display *
rule 3 permit command super *
#
role name role2
rule 1 permit read write execute feature-group L2
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
· 产品配套“基础配置指导”中的“RBAC”。
· 产品配套“基础命令参考”中的“RBAC”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
