• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(E6411 R6609)-6W107

目录

15-三权分立功能典型配置举例

本章节下载 15-三权分立功能典型配置举例  (438.04 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(E6411_R6609)-6W107/202009/1334138_30005_0.htm

15-三权分立功能典型配置举例


1  简介

本文档介绍ACG1000设备三权分立功能配置举例,包括各管理员权限划分及权限分配的管理。

ACG1000三权分立共有四种管理员,分别为原内嵌管理员admin,三权分立后account用户、authority用户、audit用户,可以分别有以下权限:

·     admin账户:内嵌管理员用户,三权模式下由authority用户对其进行功能授权,以实现对功能点权限为只读或可读写,进而对功能进行操作控制。

·     account用户:account负责账号创建,可新建自定义系统管理员;可进行操作日志查看。

·     authority用户:可以系统管理员功能模块授权,模块细分读写或只读模式。

·     audit用户:审核管理员可对用户权限监控及操作日志查看。

ACG1000的三权分立主要为一些资质审核公司要求管理员互相制约互相监控的功能。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解三权管理功能特性。

3  使用限制

·     ACG1000设备切换为三权分立后无法切回普通模式。

·     ACG1000设备切换三权分立后由于admin账号无功能授权登录后无任何功能执行权限,需由authority账号进行权限分配。

4  配置举例

4.1  组网需求

图1所示,ACG1000设备以透明模式串接在某公司网络的核心交换机和出口路由器之间,具体应用需求如下:

·     ACG1000设备开启三权模式,ACG1000设备使用的IP地址为192.168.1.1/24。

·     需要authority用户给admin用户分配权限,分别为分配:网络配置、网络优化、对象管理、上网行为管理的执行权限。

·     ACG1000设备account用户新建自定义用户为test,只分配监控统计、日志查询、上网行为管理的只读权限。

图1 日志功能配置组网图

 

4.2  配置思路

·     ACG1000设备管理模式为“三权模式”。

·     使用account用户新建管理员test。

·     使用authority用户对admin用户进行读写授权,分别为分配:网络配置、网络优化、对象管理、上网行为管理的执行权限。

·     使用authority用户对test用户进行分配监控统计、日志查询、上网行为管理的只读权限。

4.3  使用版本

本举例是在ACG1000设备的R6605版本验证的。

4.4  配置注意事项

·     账户新建只能由account用户新建。

·     切换三权模式需慎重,不可回切。

·     所有用户初始密码均为admin。

4.5  配置步骤

4.5.1  配置ACG1000系列产品

1. 登录Web网管

图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图2 登录H3C ACG Web网管

 

2. 配置模式切换

(1)     模式切换为三权模式

图3所示,进入“上网行为管理>系统管理> 管理员> 管理设定> 模式切换”,选择<三权模式>并确定。

图3 切换三权模式

 

(2)     使用account用户新建自定义用户

图4所示,使用account用户登录,点击<新建>,配置用户名为“test”,密码为自定义符合复杂度密码,其它配置保持默认,并点击<提交>。

图4 新建自定义管理员test用户

 

图5所示,创建成功的用户配置如下。

图5 自定义管理员用户配置成功

 

(3)     使用authority用户对admin用户进行权限分配

图6所示,使用authority用户登录,点击admin账号后 图标,分配:网络配置、网络优化、对象管理、上网行为管理的执行权限,将全选只读勾掉,在此页面上点击<提交>。

图6 分配权限

 

图7所示,权限分配成功的账号信息如下。

图7 Admin权限分配配置成功

 

3. 分配自定义test用户只读权限

图8所示,使用authority用户登录,点击test账号后 图标,分配:监控统计、日志查询,在此页面上点击<提交>。

图8 自定义用户只读授权

 

4.6  验证配置

4.6.1  ACG1000端验证

(1)     验证admin用户权限

图9所示,使用admin用户对网络配置等授权功能模块可读可写可执行。

图9 配置情况

 

图10所示,使用自定义test用户对监控等授权只读模块只有只读权限。

图10 自定义test用户登录查看权限

 

 

图11所示,audit用户登录只有审核员权限。

图11 ACG1000设备audit审核员登录

 

4.7  配置文件

admin-switch three-power-mode!

5  相关资料

·     《H3C SecPath ACG1000系列应用控制网关Web配置指导》中的“三权分立”

·     《H3C SecPath ACG1000系列应用控制网关故障处理手册》中的“三权分立故障处理”

·     《H3C SecPath ACG1000系列应用控制网关配置指导》中的“三权分立配置指导”

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们