02-RBAC命令
本章节下载: 02-RBAC命令 (127.78 KB)
super命令用来使用户从当前角色切换到指定的用户角色。
【命令】
super [ role-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
role-name:待切换的用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的除security-audit、guest-manager之外的任意用户角色。若不指定本参数,则切换到当前缺省的目的用户角色。缺省的目的用户角色由super default role命令指定。
【使用指导】
为了保证操作的安全性,通常用户进行用户角色切换时,均需要输入用户角色切换密码。切换到不同的用户角色时,需要输入相应切换密码。如果服务器没有响应或者没有配置用户角色切换密码,则切换操作失败,若还有备份认证方案,则转而进行备份认证。因此,在进行切换操作前,请先保证配置了正确的用户角色切换密码。
在切换用户角色时,需要注意的是:
· 若级别切换认证方式为local,在设备上未配置切换密码的情况下,对于Console/AUX用户,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色。
· 若级别切换认证方式为local scheme,在设备上未配置切换密码的情况下,对于Console、TTY或VTY用户,则转为远程AAA认证;对于AUX用户,设备不关心用户是否输入切换密码以及输入切换密码的内容,可允许用户成功切换用户角色。
【举例】
# 将用户角色切换到network-operator。(假设用户当前的角色为network-admin,切换认证方式为local,切换密码已经设置)
<Sysname> super network-operator
Password:
User privilege role is network-operator, and only those commands that authorized to the role can be used.
【相关命令】
· authentication super(安全命令参考/AAA)
· super authentication-mode
· super password
super authentication-mode命令用来设置切换用户角色时使用的认证方式。
undo super authentication-mode命令用来恢复缺省情况。
【命令】
super authentication-mode { local | scheme } *
undo super authentication-mode
【缺省情况】
采用local认证方式。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
local:使用本地配置的用户角色切换密码进行认证。
scheme:使用AAA配置进行认证。该方式下,设备将用户角色切换时使用的用户名和密码发送给HWTACACS/RADIUS服务器进行远程验证。
【使用指导】
用户可以选择使用local或者scheme方式认证,也可以同时选择local和scheme方式,多选时根据配置顺序依次认证,例如scheme local方式,会先进行scheme方式认证,如果认证服务器没有响应,则转为采用local方式认证。scheme认证方式需要与AAA 的认证方案相配合,具体请参考“安全配置指导”中的“AAA”。
【举例】
# 配置切换用户角色时采用local认证方式。
<Sysname> system-view
[Sysname] super authentication-mode local
# 配置切换用户角色时采用先scheme后local的认证方式。
<Sysname> system-view
[Sysname] super authentication-mode scheme local
【相关命令】
· authentication super(安全命令参考/AAA)
· super password
super default role命令用来配置用户角色切换的缺省目的角色。
undo super default role命令用来恢复缺省情况。
【命令】
super default role role-name
undo super default role
【缺省情况】
用户角色切换的缺省目的角色为network-admin。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
role-name:待切换的用户角色名称,为1~63个字符的字符串,区分大小写,可以是系统中已存在的除security-audit、guest-manager之外的任意用户角色。
【使用指导】
当执行super命令切换用户角色时,或配置用户角色切换的密码时,如不指定目的切换的角色名称,则表示使用super default role命令配置的缺省用户角色。
【举例】
# 配置用户切换角色的缺省目的角色为network-operator。
<Sysname> system-view
[Sysname] super default role network-operator
【相关命令】
· super
· super password
super password命令用来设置用户角色切换的密码。
undo super password命令用来删除用户角色切换密码。
【命令】
super password [ role role-name ] [ { hash | simple } string ]
undo super password [ role role-name ]
【缺省情况】
未设置用户角色切换密码。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
role role-name:待切换的用户角色的名称,为1~63个字符的字符串,区分大小写,可以为系统中已存在的除security-audit、guest-manager之外的任意用户角色。如果不指定角色名称,则表示设置的是切换到当前缺省目的用户角色的密码。缺省的目的用户角色由super default role命令指定。
hash:以哈希方式设置密码。
simple:以明文方式设置密码,该密码将以哈希计算后的密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串。
【使用指导】
如果不指定hash或simple参数,super password [ role role-name ]命令将以交互式方式设置本地用户密码,涵义与指定simple关键字相同。
当用户切换认证方式为local或包含local(local scheme、scheme local)时,才需要本命令指定的用户角色切换密码。
为保证权限控制更加安全,推荐给不同的用户角色指定不同的切换密码。
【举例】
# 配置将用户角色切换到network-operator时使用的密码为明文密码123456TESTplat&!。
<Sysname> system-view
[Sysname] super password role network-operator simple 123456TESTplat&!
# 以交互式方式设置将用户角色切换到network-operator时使用的密码为明文密码123456TESTplat&!。
<Sysname> system-view
[Sysname] super password role network-operator
Password:
Confirm :
Updating user information. Please wait... ...
【相关命令】
· super authentication-mode
· super default role
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!