• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

01-基础命令参考

02-RBAC命令

本章节下载 02-RBAC命令  (212.49 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/CR/CR19000/Command/Command_Manual/H3C_CR19000_CR-R1218-5W100/01/201909/1226014_30005_0.htm

02-RBAC命令


1 RBAC

1.1  RBAC配置命令

1.1.1  description

description命令用来配置用户角色的描述信息,用来方便管理员对用户角色进行管理。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

未定义用户角色描述信息。

【视图】

用户角色视图

【缺省用户角色】

network-admin

【参数】

text:用户角色描述信息,为1~128个字符的字符串,区分大小写。

【举例】

# 为用户角色role1配置描述信息为“labVIP”。

<Sysname> system-view

[Sysname] role name role1

[Sysname-role-role1] description labVIP

【相关命令】

·     display role

·     role

1.1.2  display role

display role命令用来显示用户角色信息。

【命令】

display role [ name role-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name role-name:用户角色名称,为1~63个字符的字符串,区分大小写。如果不指定用户角色名称,则表示显示所有用户角色的信息,包括系统缺省存在的用户角色的信息。

【举例】

# 显示用户角色123的信息。

<Sysname> display role name 123

Role: 123

  Description:

  VLAN policy: permit (default)

  Interface policy: permit (default)

  VPN instance policy: permit (default)

# 显示所有用户角色的信息。

<Sysname> display role

Role: network-admin

  Description: Predefined network admin role has access to all commands on the d

evice

  VLAN policy: permit (default)

  Interface policy: permit (default)

  VPN instance policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  sys-1   permit       command       *

  sys-2   permit RWX   web-menu      -

  sys-3   permit RWX   xml-element   -

  sys-4   deny         command       display security-logfile summary

  sys-5   deny         command       system-view ; info-center securi

                                     ty-logfile directory *

  sys-6   deny         command       security-logfile save

  sys-7   permit RW-   oid           1

  R:Read W:Write X:Execute

 

 Role: network-operator

  Description: Predefined network operator role has access to all read commands

on the device

  VLAN policy: permit (default)

  Interface policy: permit (default)

  VPN instance policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  sys-1   permit       command       display *

  sys-2   permit       command       xml

  sys-3   permit       command       system-view ; probe ; display *

  sys-4   deny         command       display history-command all

  sys-5   deny         command       display exception *

  sys-6   deny         command       display cpu-usage configuration

                                     *

  sys-7   deny         command       display kernel exception *

  sys-8   deny         command       display kernel deadloop *

  sys-9   deny         command       display kernel starvation *

  sys-10  deny         command       display kernel reboot *

  sys-13  permit       command       system-view ; local-user *

  sys-15  permit R--   web-menu      -

  sys-16  permit R--   xml-element   -

  sys-17  deny         command       display security-logfile summary

  sys-18  deny         command       system-view ; info-center securi

                                     ty-logfile directory *

  sys-19  deny         command       security-logfile save

  sys-20  deny         command       system-view ; local-user-import

                                     *

  sys-21  deny         command       system-view ; local-user-export

                                     *

  sys-23  permit R--   oid           1

  R:Read W:Write X:Execute

 

Role: level-0

  Description: Predefined level-0 role

  VLAN policy: permit (default)

  Interface policy: permit (default)

  VPN instance policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  sys-1   permit       command       tracert *

  sys-2   permit       command       telnet *

  sys-3   permit       command       ping *

  sys-4   permit       command       ssh2 *

  sys-5   permit       command       super *

  R:Read W:Write X:Execute

……(略)

表1-1 display role命令显示信息描述表

字段

描述

Role

用户角色名称,其中系统预定义的用户角色名称分别为network-admin、network-operator、level-nn为0~15)、security-audit、guest-manager

Description

用户角色描述信息

VLAN policy

配置的VLAN策略(暂不支持):

·     deny:表示除允许操作指定的VLAN外,其它VLAN均不能被用户操作

·     permit (default):表示系统缺省允许用户操作任何VLAN

Permitted VLANs

允许用户操作的VLAN(暂不支持)

Interface policy

配置的接口策略:

·     deny:表示除允许操作指定的接口外,其它接口均不能被用户操作

·     permit (default):表示系统缺省允许用户操作任何接口

Permitted interfaces

允许用户操作的接口

VPN-instance policy

配置的VPN策略:

·     deny:表示除允许操作指定的VPN实例外,其它VPN实例均不能被用户操作

·     permit (default):表示系统缺省允许用户操作任何VPN实例

Permitted VPN instances

允许用户操作的VPN实例

Rule

用户角色规则编号(系统预定义的权限规则通过sys-n标识)

Perm

对命令行的操作许可:

·     permit:允许操作

·     deny:禁止操作

Type

命令行类型:

·     R:读类型

·     W:写类型

·     X:执行类型

Scope

用户角色规则的类型:

·     command:基于命令行的规则

·     feature:基于特性的规则

·     feature-group:基于特性组规则

·     web-menu:基于Web菜单的规则(暂不支持)

·     xml-element:基于XML元素的规则

·     oid:基于OID元素的规则

Entity

用户角色规则中定义的具体内容(命令特征字符串、特性名称、特性组名称、Web菜单、XML元素或OID)

·     “-”表示所有特性

·     “*”为通配符,表示0个或多个任意字符

 

【相关命令】

·     role

1.1.3  display role feature

display role feature命令用来显示特性相关信息。

【命令】

display role feature [ name feature-name | verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name feature-name:显示指定特性的详细信息,feature-name表示系统中的特性名称,且所有特性名称中的字母均为小写。

verbose:显示所有特性的详细信息,即显示特性内包含的所有命令行列表。

【使用指导】

如果不指定任何关键字,则显示系统中所有特性的名称列表。

【举例】

说明

以下内容中涉及的特性、命令行均为示例,具体的显示信息与设备的实际情况有关,请以设备的实际情况为准。

 

# 显示系统中所有特性的名称列表。

<Sysname> display role feature

Feature: device          (Device configuration related commands)

Feature: interface       (Interface related commands)

Feature: syslog          (Syslog related commands)

Feature: process         (Process related commands)

Feature: install         (Software install related commands)

……(略)

# 显示所有特性的详细信息。

<Sysname> display role feature verbose

Feature: device          (Device configuration related commands)

  display clock    (R)

  debugging dev    (W)

  display debugging dev    (R)

  display device *    (R)

  display diagnostic-information *    (R)

……(略)

# 显示特性aaa的详细信息。

<Sysname> display role feature name aaa

Feature: aaa             (AAA related commands)

  system-view ; domain *    (W)

  system-view ; header *    (W)

  system-view ; aaa *    (W)

  system-view ; ita *    (W)

  system-view ; interface * ; aaa *    (W)

  display domain *    (R)

  display max-user *    (R)

  display debugging aaa *    (R)

  debugging aaa *    (W)

  display aaa *    (R)

  reset aaa *    (W)

  system-view ; user-group *    (W)

  system-view ; local-user *    (W)

  display local-user *    (R)

  display user-group *    (R)

  display debugging local-server    (R)

  debugging local-server *    (W)

  super *    (X)

  display password-control *    (R)

  reset password-control *    (W)

  system-view ; password-control *    (W)

……(略)

表1-2 display role feature命令显示信息描述表(以display role feature name aaa的显示字段为例)

字段

描述

Feature

特性名称以及功能简介

system-view ; domain *

系统视图下以domain开头的所有命令,以及ISP域视图下的所有命令

system-view ; header *

系统视图下以header开头的所有命令

system-view ; aaa *

系统视图下以aaa开头的所有命令

system-view ; ita *

系统视图下以ita开头的所有命令

display domain *

用户视图下以display domain开头的所有命令

display max-user *

用户视图下以display max-user开头的所有命令

display debugging aaa *

用户视图下以display debugging aaa开头的所有命令

debugging aaa *

用户视图下以debugging aaa开头的所有命令

display aaa *

用户视图下以display aaa开头的所有命令

reset aaa *

用户视图下以reset aaa开头的所有命令

system-view ; user-group *

系统视图下以user-group开头的所有命令,以及用户组视图下的所有命令

system-view ; local-user *

系统视图下以local-user开头的所有命令,以及本地用户视图下的所有命令

display user-group *

用户视图下以display user-group开头的所有命令

display debugging local-server

用户视图下以命令display debugging local-server开头的所有命令

debugging local-server *

用户视图下以debugging local-server开头的所有命令

super *

用户视图下以super开头的所有命令

display password-control *

用户视图下以display password-control开头的所有命令

reset password-control *

用户视图下以reset password-control开头的所有命令

system-view ; password-control *

系统视图下以password-control开头的所有命令

(W)

命令行的类型为写命令,本类型的命令用于对系统进行配置

(R)

命令行的类型为读命令,本类型的命令仅能显示系统配置信息和维护信息

(X)

命令行的类型为执行命令,本类型的命令用于执行特定的功能

 

【相关命令】

·     feature

1.1.4  display role feature-group

display role feature-group命令用来显示特性组信息。

【命令】

display role feature-group [ name feature-group-name ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name feature-group-name:显示指定特性组包含的特性名称列表。feature-group-name表示特性组名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示显示所有特性组的相关信息。

verbose:显示特性组的详细信息,即显示特性组内的特性所包含的命令行列表。如果不指定本参数,则表示显示特性组中的特性名称列表。

【使用指导】

特性组L2和L3为系统预定义的两个特性组。

【举例】

说明

以下内容中涉及的特性、命令行均为示例,具体的显示信息与设备的实际情况有关,请以设备的实际情况为准。

 

# 显示所有特性组内的特性名称列表。

<Sysname> display role feature-group

Feature group: L2

Feature: igmp-snooping   (IGMP-Snooping related commands)

Feature: mld-snooping    (MLD-Snooping related commands)

Feature: lacp            (LACP related commands)

Feature: lldp            (LLDP related commands)

Feature: dldp            (DLDP related commands)

Feature: cfm             (CFM related commands)

Feature: eoam            (EOAM related commands)

Feature: vlan            (Virtual LAN related commands)

Feature: evb             (EVB related commands)

Feature: ptp             (PTP related commands)

Feature: ofp             (OFP related commands)

 

Feature group: L3

Feature: route           (Route management related commands)

Feature: ospf            (Open Shortest Path First protocol related commands)

Feature: rip             (Routing Information Protocol related commands)

Feature: isis            (ISIS protocol related commands)

……(略)

# 显示所有特性组的详细信息。

<Sysname> display role feature-group verbose

Feature group: L2

Feature: igmp-snooping   (IGMP-Snooping related commands)

  display l2-multicast *    (R)

  system-view ; probe ; display system internal l2-multicast *    (R)

  reset l2-multicast *    (W)

Feature: mld-snooping    (MLD-Snooping related commands)

  display ipv6 l2-multicast *    (R)

  system-view ; probe ; display system internal ipv6 l2-multicast *    (R)

  reset ipv6 l2-multicast *    (W)

Feature: lacp            (LACP related commands)

  display link-aggregation *    (R)

  display lacp *    (R)

  system-view ; interface Route-Aggregation *    (W)

  system-view ; link-aggregation *    (W)

  system-view ; lacp *    (W)

  system-view ; interface * ; link-aggregation *    (W)

  system-view ; interface * ; port link-aggregation *    (W)

  system-view ; interface * ; lacp *    (W)

  system-view ; probe ; display system internal link-aggregation *    (R)

  system-view ; probe ; debugging system internal link-aggregation *    (W)

  reset lacp *    (W)

  debugging link-aggregation *    (W)

……(略)

# 显示特性组L3的特性名称列表。

<Sysname> display role feature-group name L3

Feature group: L3

Feature: route           (Route management related commands)

Feature: staticrt        (Unicast static route related commands)

Feature: ospf            (Open Shortest Path First protocol related commands)

Feature: rip             (Routing Information Protocol related commands)

Feature: isis            (ISIS protocol related commands)

Feature: lisp            (LISP protocol related commands)

Feature: bgp             (Border Gateway Protocol related commands)

Feature: l3vpn           (Layer 3 Virtual Private Network related commands)

Feature: route-policy    (Routing Policy related commands)

Feature: multicast       (Multicast related commands)

Feature: pim             (Protocol Independent Multicast related commands)

Feature: igmp            (Internet Group Management Protocol related commands)

Feature: mld             (Multicast Listener Discovery related commands)

Feature: mcast-domain    (Multicast Domain related commands)

Feature: msdp            (Multicast Source Discovery Protocol related commands)

Feature: nsr             (Nonstop Routing related commands)

表1-3 display role feature-group命令显示信息描述表

字段

描述

Feature group

特性组名称,其中L2和L3为系统预定义的两个特性组

Feature

特性名称以及功能简介

关于特性内具体命令的详细介绍请参考表1-2

 

【相关命令】

·     feature

·     role feature-group

1.1.5  feature

feature命令用来向特性组中添加一个特性。

undo feature命令用来删除特性组中的指定特性。

【命令】

feature feature-name

undo feature feature-name

【缺省情况】

自定义特性组中不包括任何特性。

【视图】

特性组视图

【缺省用户角色】

network-admin

【参数】

feature-name:系统支持的特性名称,所有特性名称中的字母均为小写。

【使用指导】

可通过多次执行本命令,向特性组中添加多个特性。

【举例】

# 向特性组security-features中添加特性AAA和ACL。

<Sysname> system-view

[Sysname] role feature-group name security-features

[Sysname-featuregrp-security-features] feature aaa

[Sysname-featuregrp-security-features] feature acl

【相关命令】

·     display role feature

·     display role feature-group

·     role feature-group

1.1.6  interface policy deny

interface policy deny命令用来进入接口策略视图。

undo interface policy deny命令用来恢复缺省情况。

【命令】

interface policy deny

undo interface policy deny

【缺省情况】

用户具有操作任何接口的权限。

【视图】

用户角色视图

【用户角色】

network-admin

【使用指导】

进入接口策略视图后,如果不配置允许操作的接口列表,则用户将没有操作任何接口的权限;如果需要限制或区分用户对接口资源的使用权限,则还应该通过permit interface命令配置允许用户操作的接口列表。若接口策略视图中未配置允许操作的接口列表,则表示不允许用户操作所有的接口。对接口的操作指的是创建接口并进入接口视图、删除和应用接口。其中,创建和删除接口,仅针对逻辑接口。

允许修改用户角色的接口策略,但修改后的策略只在被授权该角色的用户重新登录时才会生效。

【举例】

# 在用户角色role1中,进入接口策略视图,并禁止角色为role1的用户操作任何接口。

<Sysname> system-view

[Sysname] role name role1

[Sysname-role-role1] interface policy deny

[Sysname-role-role1-ifpolicy] quit

# 在用户角色role1中,进入接口策略视图,允许角色为role1的用户操作接口GigabitEthernet1/2/0/1。

<Sysname> system-view

[Sysname] role name role1

[Sysname-role-role1] interface policy deny

[Sysname-role-role1-ifpolicy] permit interface gigabitethernet1/2/0/1

【相关命令】

·     display role

·     permit interface

·     role

1.1.7  permit interface

permit interface命令用来配置允许用户操作的接口列表。

undo permit interface命令用来禁止用户操作指定的或所有的接口。

【命令】

permit interface interface-list

undo permit interface [ interface-list ]

【缺省情况】

接口策略视图下未定义允许操作的接口列表,用户没有操作任何接口的权限。

【视图】

接口策略视图

【缺省用户角色】

network-admin

【参数】

interface interface-list:允许用户操作的接口列表,表示多个接口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为接口类型,interface-number为接口编号。&<1-10>表示前面的参数最多可以输入10次。起始接口类型必须和终止接口类型一致,并且终止接口编号必须大于起始接口编号。

【使用指导】

通过interface policy deny命令进入接口策略视图后,必须要通过本命令配置允许操作的接口列表,用户才能具有操作相应接口的权限。

对接口的操作指的是创建并进入接口视图、删除和应用接口。其中,创建和删除接口,只针对逻辑接口。

可通过多次执行此命令向接口列表中添加允许用户操作的接口。

undo permit interface命令如果不指定interface-list参数,则表示禁止用户操作所有接口。

修改后的接口资源控制策略对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。

【举例】

# 创建用户角色role1并进入其视图。

<Sysname> system-view

[Sysname] role name role1

# 配置用户角色规则1,允许用户执行进入接口视图以及接口视图下的相关命令。

[Sysname-role-role1] rule 1 permit command system-view ; interface *

# 配置用户角色role1仅可以对接口GigabitEthernet1/2/0/1以及GigabitEthernet1/2/0/3~GigabitEthernet1/2/0/5进行操作。

[Sysname-role-role1] interface policy deny

[Sysname-role-role1-ifpolicy] permit interface gigabitethernet1/2/0/1 gigabitethernet1/2/0/3 to gigabitethernet1/2/0/5

当拥有用户角色role1的用户登录设备后,可以操作接口GigabitEthernet1/2/0/1以及GigabitEthernet1/2/0/3~GigabitEthernet1/2/0/5,但不能操作其它接口。

配置结果验证如下:

·     进入接口GigabitEthernet1/2/0/1视图。

<Sysname> system-view

[Sysname] interface gigabitethernet1/2/0/1

[Sysname-]

·     无法进入接口GigabitEthernet1/2/0/2视图。

<Sysname> system-view

[Sysname] interface gigabitethernet1/2/0/2

Permission denied.

【相关命令】

·     display role

·     interface policy deny

·     role

1.1.8  permit vpn-instance

permit vpn-instance命令用来配置允许用户操作的VPN实例列表。

undo permit vpn-instance命令用来禁止用户操作指定的或所有的VPN实例。

【命令】

permit vpn-instance vpn-instance-name&<1-10>

undo permit vpn-instance [ vpn-instance-name&<1-10> ]

【缺省情况】

VPN策略视图下未定义允许操作的VPN实例列表,用户没有操作任何VPN实例的权限。

【视图】

VPN策略视图

【缺省用户角色】

network-admin

【参数】

vpn-instance-name&<1-10>:表示允许用户操作的MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。&<1-10>表示前面的参数最多可以输入10次。

【使用指导】

通过vpn-instance policy deny命令进入VPN策略视图后,必须要通过本命令配置允许操作的VPN实例列表,用户才能具有操作相应VPN实例的权限。

对VPN实例的“操作”指的是创建MPLS L3VPN实例并进入其视图、删除和应用VPN实例。

可通过多次执行此命令向接口列表中添加多个允许用户操作的VPN实例。

undo permit vpn-instance命令如果不指定vpn-instance-name参数,则表示禁止用户操作所有VPN实例。

修改后的VPN资源控制策略对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。

【举例】

# 创建用户角色role1并进入其视图。

<Sysname> system-view

[Sysname] role name role1

# 配置用户角色规则1,允许用户执行系统视图下的所有命令以及所有子视图下的命令。

[Sysname-role-role1] rule 1 permit command system-view ; *

# 配置用户角色role1仅可以对VPN实例vpn1进行操作。

[Sysname-role-role1] vpn policy deny

[Sysname-role-role1-vpnpolicy] permit vpn-instance vpn1

拥有用户角色role1的用户登录设备后,可以操作VPN实例vpn1,但不能操作其它VPN实例。

配置结果验证如下:

·     进入名称为vpn1的VPN实例视图。

<Sysname> system-view

[Sysname] ip vpn-instance vpn1

[Sysname-vpn-instance-vpn1]

·     设置RADIUS方案radius1的主计费服务器的IP地址为10.110.1.2,且属于VPN实例vpn1。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary accounting 10.110.1.2 vpn-instance vpn1

·     无法创建名称为vpn2的VPN实例或进入其视图。

<Sysname> system-view

[Sysname] ip vpn-instance vpn2

Permission denied.

【相关命令】

·     display role

·     role

·     vpn-instance policy deny

1.1.9  role

role命令用来创建用户角色,并进入用户角色视图。如果指定的用户角色已经存在,则直接进入用户角色视图。

undo role命令用来删除指定的用户角色。

【命令】

role name role-name

undo role name role-name

【缺省情况】

存在系统预定义的用户角色:network-admin、network-operator、level-nn为0~15的整数)、security-audit、guest-manager。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

name role-name:用户角色名称,role-name为1~63个字符的字符串,区分大小写。

【使用指导】

除系统预定义的缺省用户角色之外,系统中最多允许创建64个用户角色。

缺省的用户角色不能被删除,而且其中的network-admin、network-operator、level-15、security-audit、guest-manager这些用户角色内定义的所有权限均不能被修改;用户角色level-0~level-14可以通过自定义规则和资源控制策略调整自身的权限,但这种修改对于display history-command all命令不生效,即不能通过添加对应的规则来更改它的缺省执行权限。

非AAA认证用户不能被授予安全日志管理员角色。

【举例】

# 创建用户角色role1,并进入用户角色视图。

<Sysname> system-view

[Sysname] role name role1

[Sysname-role-role1]

【相关命令】

·     display role

·     interface policy deny

·     rule

·     vpn-instance policy deny

1.1.10  role default-role enable

role default-role enable命令用来使能缺省用户角色授权功能。

undo role default-role enable命令用来恢复缺省情况。

【命令】

role default-role enable [ role-name ]

undo role default-role enable

【缺省情况】

缺省用户角色授权功能处于关闭状态,没有被AAA授权用户角色的用户不能登录设备。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

role-name:缺省用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的任意用户角色。

【使用指导】

对于通过AAA认证登录设备的用户,由服务器(远程认证服务器或本地认证服务器)为其授权对应的用户角色。如果用户没有被授权任何用户角色,将无法成功登录设备。使能该功能后,用户将在没有被服务器授权任何用户角色的情况下,具有一个缺省的用户角色。

若用户通过AAA认证且被授予了具体的用户角色,则用户不具有缺省的用户角色。

若不指定role-name参数,如果用户登录设备,缺省用户角色为network-operator。

【举例】

# 使能缺省用户角色授权功能。

<Sysname> system-view

[Sysname] role default-role enable

【相关命令】

·     role

1.1.11  role feature-group

role feature-group命令用来创建特性组,并进入特性组视图。如果指定的特性组已经存在,则直接进入特性组视图。

undo role feature-group命令用来删除指定的特性组。

【命令】

role feature-group name feature-group-name

undo role feature-group name feature-group-name

【缺省情况】

存在两个特性组,名称分别为L2和L3。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

name feature-group-name:特性组名称,feature-group-name为1~31个字符的字符串,区分大小写。

【使用指导】

除系统预定义的特性组L2和L3之外,系统中最多允许创建64个特性组。

不能修改和删除系统预定义的特性组L2和L3。L2中包含了所有的二层协议相关功能的命令,L3中包含了所有三层协议相关功能的命令。

【举例】

# 创建特性组security-features,并进入特性组视图。

<Sysname> system-view

[Sysname] role feature-group name security-features

[Sysname-featuregrp-security-features]

【相关命令】

·     display role feature

·     display role feature-group

·     feature

1.1.12  rule

rule命令用来为用户角色创建一条规则。

undo rule命令用来为用户角色删除规则。

【命令】

rule number { deny | permit } { command command-string | { execute | read | write } * { feature [ feature-name ] | feature-group feature-group-name | oid oid-string | xml-element [ xml-string ] } }

undo rule { number | all }

【缺省情况】

新创建的用户角色中未定义规则,即当前用户角色无任何权限。

【视图】

用户角色视图

【缺省用户角色】

network-admin

【参数】

number:权限规则编号,取值范围为1~256。

deny:禁止执行指定的命令、XML元素或MIB节点OID。

permit:允许执行指定的命令、XML元素或MIB节点OID。

command command-string:配置基于命令的规则。command-string表示命令特征字符串,为1~128个字符的字符串,区分大小写,可以是特定的一条命令行,也可以是用星号(*)通配符表示的一批命令,可包含空格、Tab(它们用于分隔关键字、参数以及输入的字符),以及所有可打印字符。

execute:表示执行类型的命令、XML元素或MIB节点OID。用于执行特定的程序或功能,执行类型的命令如ping命令。

read:表示读类型的命令、XML元素或MIB节点OID,用于显示系统配置和维护信息。读类型的命如displaydirmorepwd命令。

write:表示写类型的命令、XML元素或MIB节点OID,用于对系统进行配置。写类型的命如ssh server enable命令。

feature [ feature-name ]:配置基于特性的规则。feature-name表示系统预定义的特性名称,区分大小写。若不指定特性名称,则表示所有特性。

feature-group feature-group-name:配置基于特性组的规则。feature-group-name表示特性组名称,为1~31个字符的字符串,区分大小写。只有特性组创建后,基于特性组的规则才能生效。使用display role feature-group命令可以查看已创建的特性组信息。

oid oid-string:配置基于MIB节点OID(Object Identifier,对象标识符)的规则。oid-string表示允许操作的OID,为1~255个字符的字符串,不区分大小写。OID是由一系列的整数组成,标明节点在MIB树中的位置,它能唯一地标识一个MIB库中的对象。例如:1.3.6.1.4.1.25506.8.35.14.19.1.1。

xml-element [ xml-string ]:配置基于XML元素的规则。xml-string表示允许操作的XML元素的XPath,为1~255个字符的字符串,不区分大小写,以“/”为分隔符来分隔不同级别的菜单,例如:Interfaces/Index/Name;若不指定xml-string参数,则表示对所有XML元素生效。

all:指定所有权限规则。

【使用指导】

可为一个用户角色定义以下几种类型的规则:

·     禁止或允许执行特定的命令行。

·     禁止或允许执行指定或所有特性的某一类或某几类命令。

·     禁止或允许执行某个特性组中所有特性的某一类或某几类命令。

·     禁止或允许执行指定所有或指定的MIB节点OID。

·     禁止或允许执行所有XML元素或某几类XML元素。

每个用户角色中最多可以配置256条规则,系统中可以配置的用户角色规则总数不能超过1024。

访问文件系统的命令,受基于文件系统特性规则以及具体命令规则的双重控制。

对于需要将输出信息重定向到文件中保存的命令,只有在用户角色被授权了文件系统写权限后才允许执行。

为用户角色定义规则时,需要注意的是:

·     如果指定编号的规则不存在,则表示创建一条新的规则;如果指定编号的规则已存在,则表示对已有的规则进行修改。修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。

·     一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。

·     在同时存在系统预定义规则(以sys-x为权限规则编号,x为整数值)和自定义规则的用户角色中,若预定义规则定义的权限内容与自定义规则定义的权限内容有冲突,则以自定义规则为准。

输入命令特征字符串时,需要遵循以下规则:

(1)     段(segment)的划分

·     若要描述多级视图下的命令,则需要使用分号(;)将命令特征字符串分成多个段,每一个段代表一个或一系列命令,后一个段中的命令是执行前一个段中命令所进入视图下的命令。一个段中可以包含多个星号(*),每个星号(*)代表了0个或多个任意字符。例如:命令特征字符串“system ; interface * ; ip * ;” 代表从系统视图进入到任意接口视图后,以ip开头的所有命令。

·     除最后一个段外,其余段中的命令应为描述如何进入子视图的命令特征字符串。

·     一个段中必须至少出现一个可打印字符,不能全部为空格或Tab。

(2)     分号的使用

·     在输入命令特征字符串时必须指定该命令所在的视图,进入各视图的命令特征字符串由分号分隔。但是,对于能在任意视图下执行的命令(例如display命令)以及用户视图下的命令(例如dir命令),在配置包含此类命令的规则时,不需要在规则的命令匹配字符串中指定其所在的视图。

·     当最后一个段中的最后一个可见字符为分号时,表示所指的命令范围不再扩展,否则将向子视图中的命令扩展。例如:命令特征字符串“system ; radius scheme * ;”代表系统视图下以radius scheme开头的所有命令;命令特征字符串“system ; radius scheme * ”代表系统视图下以radius scheme开头的所有命令,以及进入子视图(RADIUS方案视图)下的所有命令。

(3)     星号的使用

·     当星号(*)出现在一个段的首部时,其后面不能再出现其它可打印字符,且该段必须是命令特征字符串的最后一个段。例如:命令特征字符串“system ; *”就代表了系统视图下的所有命令,以及所有子视图下的命令。

·     当星号(*)出现在一个段的中间时,该段必须是命令特征字符串的最后一个段。例如:命令特征字符串“debugging * event”就代表了用户视图下所有模块的事件调试信息开关命令。

(4)     前缀匹配

·     命令关键字与命令特征字符串是采用前缀匹配算法进行匹配的,即只要命令行中关键字的首部若干连续字符或全部字符与规则中定义的关键字相匹配,就认为该命令行与此规则匹配。因此,命令特征字符串中可以包括完整的或部分的命令关键字。例如,若规则“rule 1 deny command dis mpls lsp protocol static asbr”生效,则命令display mpls lsp protocol static asbr和命令display mpls lsp protocol static-cr asbr都会被禁止执行。

对于基于命令的规则,有以下使用注意事项:

·     基于命令的规则只对指定视图下的命令生效。若用户输入的命令在当前视图下不存在而在其父视图下被查找到时,用于控制当前视图下的命令的规则不会对其父视图下的命令执行权限进行控制。例如,定义一条规则“rule 1 deny command system ; interface * ; *”禁止用户执行接口视图下的任何命令。当用户在接口视图下输入命令acl number 3000时,该命令仍然可以成功执行,因为系统在接口视图下搜索不到指定的acl命令时,会回溯到系统视图(父视图)下执行,此时该规则对此命令不生效。

·     display命令中的重定向符(“|”、“>”、“>>”)及其后面的关键字不被作为命令行关键字参与规则的匹配。例如,若规则“rule 1 permit command display debugging”生效,则命令display debugging > log是被允许执行的,其中的关键字> log将被忽略,RBAC只对重定向符前面的命令行display debugging进行匹配。但是,如果在规则中配置了重定向符,则RBAC会将其作为普通字符处理。例如,若规则“rule 1 permit command display debugging > log”生效,则命令display debugging > log将会匹配失败,因为其中的关键字> log被RBAC忽略了,最终是命令display debugging与规则进行匹配。因此,配置规则时不要使用重定向符。

进行基于OID的规则的匹配时,遵循以下规则:

·     与用户访问的OID形成最长匹配的规则生效。例如用户访问的OID为1.3.6.1.4.1.25506.141.3.0.1,角色中存在“rule 1 permit read write oid 1.3.6”,“rule 2 deny read write oid 1.3.6.1.4.1”和“rule 3 permit read write oid 1.3.6.1.4”,其中rule 2与用户访问的OID形成最长匹配,则认为rule 2与OID匹配,匹配的结果为用户的此访问请求被拒绝。

·     对于定义的OID长度相同的规则,规则编号大的生效。例如用户访问的OID为1.3.6.1.4.1.25506.141.3.0.1,角色中存在“rule 1 permit read write oid 1.3.6”,“rule 2 deny read write oid 1.3.6.1.4.1”和“rule 3 permit read write oid 1.3.6.1.4.1”,其中rule 2和rule 3与访问的OID形成最长匹配,则rule 3生效,匹配的结果为用户的访问请求被允许。

【举例】

# 为用户角色role1创建一条规则,允许用户执行命令display acl

<Sysname> system-view

[Sysname] role name role1

[Sysname-role-role1] rule 1 permit command display acl

# 为用户角色role1添加一条权限规则,允许用户执行所有以display开头的命令。

[Sysname-role-role1] rule 2 permit command display *

# 为用户角色role1添加一条权限规则,允许用户执行系统视图下的radius scheme aaa命令,以及使用该命令进入子视图后的所有命令。

[Sysname-role-role1] rule 3 permit command system ; radius scheme aaa

# 为用户角色role1添加一条权限规则,禁止用户执行所有特性中读类型和写类型的命令。

[Sysname-role-role1] rule 4 deny read write feature

# 为用户角色role1添加一条权限规则,禁止用户执行特性aaa中所有读类型的命令。

[Sysname-role-role1] rule 5 deny read feature aaa

# 为用户角色role1添加一条权限规则,允许执行特性组security-features中所有特性的读类型、写类型以及执行类型的命令。

[Sysname-role-role1] rule 6 permit read write execute feature-group security-features

# 为用户角色role1添加一条基于OID的规则,允许对OID为1.1.2的MIB节点进行读、写操作。

[Sysname-role-role1] rule 7 permit read write oid 1.1.2

【相关命令】

·     display role

·     display role feature

·     display role feature-group

·     role

1.1.13  super

super命令用来使用户从当前角色切换到指定的用户角色。

【命令】

super [ role-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

role-name:待切换的用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的除security-audit、guest-manager之外的任意用户角色。若不指定本参数,则切换到当前缺省的目的用户角色。缺省的目的用户角色由super default role命令指定。

【使用指导】

切换后的用户角色只对当前登录生效,用户重新登录后,又会恢复到原有角色。

为了保证操作的安全性,通常用户进行用户角色切换时,均需要输入用户角色切换密码。切换到不同的用户角色时,需要输入相应切换密码。如果服务器没有响应或者没有配置用户角色切换密码,则切换操作失败,若还有备份认证方案,则转而进行备份认证。因此,在进行切换操作前,请先保证配置了正确的用户角色切换密码。

在切换用户角色时,需要注意的是:

·     若级别切换认证方式为local,在设备上未配置切换密码的情况下,对于Console用户,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色。

·     若级别切换认证方式为local scheme,在设备上未配置切换密码的情况下,则用户转为远程AAA认证。

【举例】

# 将用户角色切换到network-operator。(假设用户当前的角色为network-admin,切换认证方式为local,切换密码已经设置)

<Sysname> super network-operator

Password:

User privilege role is network-operator, and only those commands that authorized to the role can be used.

【相关命令】

·     authentication super(安全命令参考/AAA)

·     super authentication-mode

·     super password

1.1.14  super authentication-mode

super authentication-mode命令用来设置切换用户角色时使用的认证方式。

undo super authentication-mode命令用来恢复缺省情况。

【命令】

super authentication-mode { local | scheme } *

undo super authentication-mode

【缺省情况】

采用local认证方式。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

local:使用本地配置的用户角色切换密码进行认证。

scheme:使用AAA配置进行认证。

【使用指导】

使用本地密码认证时,需要通过super password命令在设备上配置用户角色切换的密码。

使用远程AAA认证时,需要在RADIUS或HWTACACS服务器上配置用户名和用户角色切换密码。

用户可以选择使用local或者scheme方式认证,也可以同时选择localscheme方式,多选时根据配置顺序依次认证。

·     local scheme方式:先进行本地密码认证,若设备上未设置本地用户角色切换密码,则登录的用户转为远程AAA认证。

·     scheme local方式:先进行远程AAA认证,远程HWTACACS/RADIUS服务器无响应或设备上的AAA远程认证配置无效时,转为本地密码认证。

scheme认证方式需要与AAA 的认证方案相配合,具体请参考“安全配置指导”中的“AAA”。

【举例】

# 配置切换用户角色时采用local认证方式。

<Sysname> system-view

[Sysname] super authentication-mode local

# 配置切换用户角色时采用先schemelocal的认证方式。

<Sysname> system-view

[Sysname] super authentication-mode scheme local

【相关命令】

·     authentication super(安全命令参考/AAA)

·     super password

1.1.15  super default role

super default role命令用来配置用户角色切换的缺省目的角色。

undo super default role命令用来恢复缺省情况。

【命令】

super default role role-name

undo super default role

【缺省情况】

用户角色切换的缺省目的角色为network-admin。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

role-name:待切换的用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的除security-audit、guest-manager之外的任意用户角色。

【使用指导】

当执行super命令切换用户角色时,或配置用户角色切换的密码时,如不指定目的切换的角色名称,则表示使用super default role命令配置的缺省用户角色。

【举例】

# 配置用户切换角色的缺省目的角色为network-operator。

<Sysname> system-view

[Sysname] super default role network-operator

【相关命令】

·     super

·     super password

1.1.16  super password

super password命令用来设置用户角色切换的密码。

undo super password命令用来删除用户角色切换密码。

【命令】

super password [ role role-name ] [ { hash | simple } string ]

undo super password [ role role-name ]

【缺省情况】

未设置用户角色切换密码。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

role role-name:待切换的用户角色的名称,为1~63个字符的字符串,区分大小写,可以为系统中已存在的除security-audit、guest-manager之外的任意用户角色。如果不指定角色名称,则表示设置的是切换到当前缺省目的用户角色的密码。缺省的目的用户角色由super default role命令指定。

hash:以哈希方式设置密码。

simple:以明文方式设置密码,该密码将以哈希计算后的密文形式存储。

string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串。

【使用指导】

如果不指定hashsimple参数,super password [ role role-name ]命令将以交互式方式设置本地用户密码,涵义与指定simple关键字相同。

当用户切换认证方式为local或包含locallocal schemescheme local)时,才需要本命令指定的用户角色切换密码。

为保证权限控制更加安全,推荐给不同的用户角色指定不同的切换密码。

【举例】

# 配置将用户角色切换到network-operator时使用的密码为明文密码123456TESTplat&!。

<Sysname> system-view

[Sysname] super password role network-operator simple 123456TESTplat&!

# 以交互式方式设置将用户角色切换到network-operator时使用的密码为明文密码123456TESTplat&!。

<Sysname> system-view

[Sysname] super password role network-operator

Password:

Confirm :

Updating user information. Please wait... ...

【相关命令】

·     super authentication-mode

·     super default role

1.1.17  vpn-instance policy deny

vpn-instance policy deny命令用来进入VPN策略视图。

undo vpn-instance policy deny命令用来恢复缺省情况。

【命令】

vpn-instance policy deny

undo vpn-instance policy deny

【缺省情况】

用户具有操作任何VPN实例的权限。

【视图】

用户角色视图

【缺省用户角色】

network-admin

【使用指导】

进入VPN策略视图后,如果不配置允许操作的VPN实例列表,则用户将没有操作任何VPN实例的权限;如果需要限制或区分用户对VPN资源的使用权限,则还应该通过permit vpn-instance命令配置允许用户操作的VPN实例列表。若VPN策略视图中未配置允许操作的VPN实例列表,则表示不允许用户操作所有的VPN实例。对VPN实例的“操作”指的是创建MPLS L3VPN实例并进入其视图、删除和应用VPN实例。

允许修改用户角色的VPN策略,但修改后的策略只对被授权该角色的用户重新登录时才会生效。

【举例】

# 在用户角色role1中,创建并进入一个VPN策略视图,并禁止角色为role1的用户操作任意VPN实例。

<Sysname> system-view

[Sysname] role name role1

[Sysname-role-role1] vpn-instance policy deny

[Sysname-role-role1-vpnpolicy] quit

# 在用户角色role1中,创建并进入一个VPN策略视图,允许角色为role1的用户操作VPN实例vpn2。

<Sysname> system-view

[Sysname] role name role1

[Sysname-role-role1] vpn-instance policy deny

[Sysname-role-role1-vpnpolicy] permit vpn-instance vpn2

【相关命令】

·     display role

·     permit vpn-instance

·     role

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们