国家 / 地区

01-基础配置命令

02-RBAC命令

本章节下载  (127.78 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WA/H3C_WA5500/Command/Command_Manual/H3C_WA5530_CR-5W100/01/201706/1003575_30005_0.htm

02-RBAC命令


1 RBAC

1.1  RBAC配置命令

1.1.1  super

super命令用来使用户从当前角色切换到指定的用户角色。

【命令】

super [ role-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

role-name:待切换的用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的除security-audit、guest-manager之外的任意用户角色。若不指定本参数,则切换到当前缺省的目的用户角色。缺省的目的用户角色由super default role命令指定。

【使用指导】

为了保证操作的安全性,通常用户进行用户角色切换时,均需要输入用户角色切换密码。切换到不同的用户角色时,需要输入相应切换密码。如果服务器没有响应或者没有配置用户角色切换密码,则切换操作失败,若还有备份认证方案,则转而进行备份认证。因此,在进行切换操作前,请先保证配置了正确的用户角色切换密码。

在切换用户角色时,需要注意的是:

·     若级别切换认证方式为local,在设备上未配置切换密码的情况下,对于Console/AUX用户,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色。

·     若级别切换认证方式为local scheme,在设备上未配置切换密码的情况下,对于Console、TTY或VTY用户,则转为远程AAA认证;对于AUX用户,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色。

【举例】

# 将用户角色切换到network-operator。(假设用户当前的角色为network-admin,切换认证方式为local,切换密码已经设置)

<Sysname> super network-operator

Password:

User privilege role is network-operator, and only those commands that authorized to the role can be used.

【相关命令】

·     authentication super(安全命令参考/AAA)

·     super authentication-mode

·     super password

1.1.2  super authentication-mode

super authentication-mode命令用来设置切换用户角色时使用的认证方式。

undo super authentication-mode命令用来恢复缺省情况。

【命令】

super authentication-mode { local | scheme } *

undo super authentication-mode

【缺省情况】

采用local认证方式。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

local:使用本地配置的用户角色切换密码进行认证。

scheme:使用AAA配置进行认证。该方式下,设备将用户角色切换时使用的用户名和密码发送给HWTACACS/RADIUS服务器进行远程验证。

【使用指导】

用户可以选择使用local或者scheme方式认证,也可以同时选择localscheme方式,多选时根据配置顺序依次认证,例如scheme local方式,会先进行scheme方式认证,如果认证服务器没有响应,则转为采用local方式认证。scheme认证方式需要与AAA 的认证方案相配合,具体请参考“安全配置指导”中的“AAA”。

【举例】

# 配置切换用户角色时采用local认证方式。

<Sysname> system-view

[Sysname] super authentication-mode local

# 配置切换用户角色时采用先schemelocal的认证方式。

<Sysname> system-view

[Sysname] super authentication-mode scheme local

【相关命令】

·     authentication super(安全命令参考/AAA)

·     super password

1.1.3  super default role

super default role命令用来配置用户角色切换的缺省目的角色。

undo super default role命令用来恢复缺省情况。

【命令】

super default role role-name

undo super default role

【缺省情况】

用户角色切换的缺省目的角色为network-admin。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

role-name:待切换的用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的除security-audit、guest-manager之外的任意用户角色。

【使用指导】

当执行super命令切换用户角色时,或配置用户角色切换的密码时,如不指定目的切换的角色名称,则表示使用super default role命令配置的缺省用户角色。

【举例】

# 配置用户切换角色的缺省目的角色为network-operator。

<Sysname> system-view

[Sysname] super default role network-operator

【相关命令】

·     super

·     super password

1.1.4  super password

super password命令用来设置用户角色切换的密码。

undo super password命令用来删除用户角色切换密码。

【命令】

super password [ role role-name ] [ { hash | simple } string ]

undo super password [ role role-name ]

【缺省情况】

未设置用户角色切换密码。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

role role-name:待切换的用户角色的名称,为1~63个字符的字符串,区分大小写,可以为系统中已存在的除security-audit、guest-manager之外的任意用户角色。如果不指定角色名称,则表示设置的是切换到当前缺省目的用户角色的密码。缺省的目的用户角色由super default role命令指定。

hash:以哈希方式设置密码。

simple:以明文方式设置密码,该密码将以哈希计算后的密文形式存储。

string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串。

【使用指导】

如果不指定hashsimple参数,super password [ role role-name ]命令将以交互式方式设置本地用户密码,涵义与指定simple关键字相同。

当用户切换认证方式为local或包含locallocal schemescheme local)时,才需要本命令指定的用户角色切换密码。

为保证权限控制更加安全,推荐给不同的用户角色指定不同的切换密码。

【举例】

# 配置将用户角色切换到network-operator时使用的密码为明文密码123456TESTplat&!。

<Sysname> system-view

[Sysname] super password role network-operator simple 123456TESTplat&!

# 以交互式方式设置将用户角色切换到network-operator时使用的密码为明文密码123456TESTplat&!。

<Sysname> system-view

[Sysname] super password role network-operator

Password:

Confirm :

Updating user information. Please wait... ...

【相关命令】

·     super authentication-mode

·     super default role

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!