手册下载
22-EIA 用户分组+业务分组权限控制典型配置举例-整本手册.pdf (3.91 MB)
EIA 用户分组+业务分组权限控制
典型配置举例
资料版本:5W107-20230207
产品版本:AD-Campus EIA (E6205)
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
分权管理是保证系统安全可靠运行的有效手段,其核心思想是特定的人只能管理特定的业务,既职责分明,也不会互相越权。本文档介绍了EIA用户分组、业务分组权限控制的典型配置。
· 用户分组:管理员根据需要,可以将某些具有相同属性(如:同一个年级、申请了相同的接入服务等)的用户划分为一个组,以便进行管理。
· 业务分组:管理员根据需要,可以将系统中的业务数据(如:接入服务、安全策略等)划分到不同的分组中,只有与分组相关联的管理员和操作员才能对相应分组下的业务数据进行操作。
本系统中的分权管理主要体现为将系统中的业务数据(如接入服务、接入策略等)划分到不同的业务分组中,用户数据(如接入用户等)划分到不同的用户分组中,只有与分组相关联的管理员和操作员才能对相应分组下的业务数据、用户数据进行操作。
业务分组权限控制需要在[自动化>用户业务>业务参数>接入参数>系统配置>系统参数配置>用户数据管理参数]中启用“UAM业务分权”。
· 系统管理员默认与所有业务分组、用户分组关联,可配置所有分组中的业务数据、用户数据;本文档以自定义操作员关联特定分组进行举例。
· 任何操作员都关联未分组中的业务数据、用户数据;本文档以自定义的用户分组、业务分组进行举例。
为方便您使用用户分组与业务分组的权限控制功能,建议按照章节顺序进行配置。
管理员可以根据需要,将某些具有相同属性(如:同一个年级、申请了相同的接入服务等)的用户划分为一个组,以便进行管理。以新增“用户分组A”为例,增加用户分组的方法如下:
(1) 选择“自动化”页签,单击导航树中的[用户业务>接入用户]菜单项,进入接入用户页面。单击页面右上角“用户分组”链接,进入用户分组页面,如图1所示。
(2) 单击<增加>按钮,配置基本信息,输入分组名称,按需选择资源分组,配置完成的效果图如图2所示。
(3) 单击<确定>按钮,弹出对话框如图3所示,单击<确认>按钮完成增加用户分组操作,返回用户分组页面。
未选择任何资源分组时,增加后可能会看不到该新增的用户分组。
接入用户是用户接入网络时使用的身份证明,包含帐号名、密码和使用的服务等信息,增加接入用户的方法如下:
(1) 选择“自动化”页签,单击导航树中的[用户业务>接入用户]菜单项,进入接入用户页面,如图5所示。
图5 接入用户页面
(2) 单击<增加>按钮,进入增加接入用户页面,配置接入用户的基本信息、接入信息,选择接入服务,如图6所示。
图6 接入用户参数配置
各参数介绍请参见表1,表格外的其他参数在配置过程中可保持缺省值。
参数 |
说明 |
用户姓名 |
用户的姓名 |
证件号码 |
用户的证件号码 |
用户分组 |
接入用户所属分组,按需选择之前增加的用户分组 |
帐号名 |
唯一标识帐号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同 |
密码/密码确认 |
密码用于身份验证,不可为空,最长32个字符 |
接入服务 |
由预先定义的一组网络使用特性组成,此处可选择已存在的接入服务; |
(3) 单击<确定>按钮,完成增加接入用户操作,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图7所示。
操作员可以根据管理需要,创建资源分组,并将资源加入该分组进行管理。为了便于组织和展示资源分组之间的关系,操作员可以为每个资源分组设置一个父分组。通过设置父分组,所有的资源分组可以组织成一棵以顶级分组为根节点的树。每个资源分组的管理权限可以单独配置,子分组内的资源也会属于父分组。以新增“用户分组-资源分组A”为例,增加资源分组的方法如下:
(1) 选择“系统”页签,单击导航树中的[系统配置>资源分组]菜单项,进入资源分组页面,如图8所示。
(2) 单击<增加>按钮,进入增加资源分组页面,输入分组名称,按需选择“所属分组”。
· 选择“所属分组”后,单击<从所属分组选择>按钮增加组内资源。
· 单击<自由选择>按钮,将想要管理的资源添加到组内资源。
“所属分组”为非必选项,可以不进行选择。本章节采用“自由选择”方式进行组内资源的添加操作。
配置完成后的效果图如图9所示。
各参数介绍请参见表2。
参数 |
说明 |
分组名称 |
资源分组的名称,只能包含中文、字母、数字、空格、”(“、”)“、”[“、”]“、“_”、“-”、“.”、“\”,有效长度为1~128位 |
分组描述 |
资源分组的描述信息,只能包含中文、字母、数字、空格、”(“、”)“、”[“、”]“、“_”、“-”、“.”、“\”,有效长度不能超过128位 |
所属分组 |
资源分组的父分组,非必选项 |
组内资源 |
该资源分组可管理的资源; 从所属分组选择:若选择了所属分组,可将父分组下的资源加入该分组; 自由选择:自由选择要加入该分组的资源 |
(3) 单击<确定>按钮,完成增加资源分组操作。
管理员可以将资源分组的管理权限分配给其他操作员,每个资源分组可以单独设置管理权限和可管理的资源。以新增“角色A”并关联“用户分组-资源分组A”为例,给资源分组分配权限的方法如下:
(1) 选择“系统”页签,单击导航树中的[系统配置>资源分组]菜单项,进入资源分组页面,如图10所示。
(2) 勾选资源分组,单击<分配权限>按钮,进入分配权限页面,选择要分配的操作,如图11所示。
(3) 配置权限名称前缀,权限名称会显示为前缀-资源类型名称,如图12所示。
(4) 在下拉列表中选择权限所属的权限组,可以在权限列表的对应分组中查看该权限,如图13所示。
(5) 选择新增角色,输入角色名称,配置完成的效果图如图14所示。
(6) 单击<确定>按钮,完成给资源分组分配权限操作。
角色是权限的集合。本系统采用基于角色的权限控制,可以为角色分配权限。其中资源分组及用户分组权限为必选权限,在本章节和“3.1.4 给资源分组分配权限”章节中均支持对资源分组及用户分组权限进行分配。以“角色A”为例,给角色分配权限的方法如下:
(1) 选择“系统”页签,单击导航树中的[权限管理>角色列表]菜单项,进入角色列表页面。
(2) 在“操作”区段单击“修改”图标,可选择经典模式或简洁模式进行配置。经典模式配置请参见“1. 经典模式配置”,简洁模式配置请参见“2. 简洁模式配置”。
(2) 单击<选择权限>按钮,在搜索栏中输入“接入用户”,单击“搜索”图标,勾选待分配的权限,如图16所示。
(3) 单击<确定>按钮,完成分配权限的选择操作,页面返回后可查看到已生效的权限,如图17所示。
(4) 单击<确定>按钮,完成给角色分配权限操作。
(1) 选择简洁模式,如图18所示。
(2) 资源分组权限增加方式如下:在“生效权限”区域内展开“系统”项,勾选资源分组下的全部权限,如图19所示。
(3) 用户分组权限增加方式如下:展开“接入管理”项,勾选“用户分组”相关权限,如图20所示。
(4) 其他用户相关权限增加方式如下:例如对“接入用户”进行管理,则需要在角色页面中增加“接入用户”和“终端设备管理”下的相关权限,如图21、图22所示
(5) 单击“选择作用范围”区域的<指定>按钮,单击<选择资源分组>按钮,将创建的资源分组增加至列表中,如图23所示。
(6) 单击<确定>按钮,完成给角色分配权限操作。
可以根据需要,将某些具有相同属性的操作员划分到一个角色组,以便进行管理。以增加“角色组A”为例,增加角色组的方法如下:
(1) 选择“系统”页签,单击导航树中的[权限管理>组织列表]菜单项,进入角色组列表页面,如图24所示。
(2) 单击<增加>按钮,页面右侧显示增加角色组页面,如图25所示。
(3) 配置角色组的基本信息,勾选待分组的操作员,右移至生效角色列表,如图26所示。
(4) 单击<确定>按钮,完成增加角色组操作。
管理员赋予操作员分组相关的权限后(包括增加、删除、修改、查看分组数据),操作员可以关联分组并进行管理。以新增操作员“Operator-A”为例,增加操作员的方法如下:
(1) 选择“系统”页签,单击导航树中的[权限管理>组织列表]菜单项,进入角色组列表页面,如图27所示。
(2) 单击“增加操作员”图标,在弹出的对话框中配置操作员基本信息,配置完成的效果图如图28所示。
(3) 单击<确定>按钮,完成增加操作员操作。
操作员“Operator-A”登录后只能对未分组和用户分组A的接入用户进行相关操作,如图29所示。
管理员可以根据需要,将系统中的业务数据(如:接入服务、安全策略等)划分到不同的分组中,只有与分组相关联的操作员才能对业务数据进行操作。以新增“业务分组A”为例,增加业务分组的方法如下:
(1) 选择“自动化”页签,单击导航树中的[用户业务>业务参数>接入参数]菜单项,进入业务参数配置页面。选择“业务分组”页签,进入业务分组页面,如图30所示。
(2) 单击<增加>按钮,配置基本信息,输入分组名称,按需选择资源分组,配置完成的效果图如图31所示。
(3) 单击<确定>按钮,弹出对话框如图32所示,单击<确认>按钮完成增加业务分组操作,返回业务分组页面。
(4) 可在业务分组列表中查看新增的业务分组,未选择任何资源分组时,增加后可能会看不到该新增的业务分组,如图33所示。
服务是用户使用网络的一个途径,它由预先定义的一组网络使用特性组成,其中包括基本信息和接入策略信息两部分。服务为用户提供了完善的接入策略,用户申请了特定的服务后,即可按照服务设定的属性访问网络。增加接入服务的方法如下:
(1) 选择“自动化”页签,单击导航树中的[用户业务>接入服务]菜单项,进入接入服务页面,如图34所示。
(2) 单击<增加>按钮,进入增加接入服务页面,配置接入服务的基本信息,如图35所示。
各参数介绍请参见表3,表格外的其他参数在配置过程中可保持缺省值。
参数 |
说明 |
服务名 |
特定服务在接入业务中的唯一标识 |
缺省接入策略 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省接入策略的控制 |
缺省私有属性下发策略 |
不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上 |
缺省单帐号最大绑定终端数 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制,该参数只有在部署了EIP组件后才会显示 |
缺省单帐号在线数量限制 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制 |
单日累计在线最长时间(分钟) |
每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。若一个帐号对应多个终端,则多个终端时长累计,累计时长达到该时长后,帐号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440 |
业务分组 |
接入服务所属分组,按需选择之前增加的业务分组 |
接入场景列表 |
如果用户接入的场景与接入策略列表中的某个接入场景完全匹配,则用户认证时会根据接入位置分组策略的配置决定应用哪个安全策略、私有属性下发策略与接入策略。否则,用户使用服务中的缺省安全策略、缺省私有属性下发策略和缺省接入策略。“安全策略”只有在安装了EAD安全策略组件后才会出现 |
(3) 单击<确定>按钮,完成增加接入服务操作,返回接入服务页面。可在接入服务列表中查看新增的接入服务,如图36所示。
增加资源分组的方式具体请参见“3.1.3 增加资源分组”,增加完成的效果图如图37所示。
给资源分组分配权限的方式具体请参见“3.1.4 给资源分组分配权限”,配置完成的效果图如图38所示。
资源分组及业务分组权限为必选权限,在本章节和“3.2.4 给资源分组分配权限”章节中均支持对资源分组及用户分组权限进行分配。以“角色B”为例,给角色分配权限的方法如下:
(1) 选择“系统”页签,单击导航树中的[权限管理>角色列表]菜单项,进入角色列表页面。
(2) 在“操作”区段单击“修改”图标,可选择简洁模式或经典模式进行配置。经典模式配置请参见“1. 经典模式配置”,简洁模式配置请参见“2. 简洁模式配置”。
(1) 选择经典模式,如图39所示。
(2) 单击<选择权限>按钮,在搜索栏中输入“接入服务”,单击“搜索”图标,勾选待分配的权限,如图40所示。
(3) 单击<确定>按钮,完成分配权限的选择操作,页面返回后可查看到已生效的权限,如图41所示。
(4) 单击<确定>按钮,完成给角色分配权限操作。
(1) 选择简洁模式,如图42所示。
(2) 接入服务管理权限增加方式如下:在“生效权限”区域内展开“接入管理”项,勾选接入服务管理的全部权限,如图43所示。
(3) 业务分组权限增加方式如下:展开“接入管理”项,勾选“业务分组”相关权限,如图44所示。
(4) 单击“选择作用范围”区域的<指定>按钮,单击<选择资源分组>按钮,将创建的资源分组增加至列表中,如图45所示。
(5) 单击<确定>按钮,完成给角色分配权限操作。
增加角色组的方式具体请参见“3.1.6 增加角色组”,配置完成的效果图如图46所示。
增加操作员的方式具体请参见“3.1.7 增加操作员”,配置完成的效果图如图47所示。
操作员“Operator-B”登录后只能对未分组和业务分组A的接入服务进行相关操作,如图48所示。