12-管理员
本章节下载: 12-管理员 (413.19 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 帐户管理
¡ 角色管理
¡ 密码管理
管理员通过SSH、Telnet、FTP、HTTP、HTTPS、终端接入(即从Console口接入)方式登录到设备上之后,可以对设备进行配置和管理。对登录用户的管理和维护主要涉及以下几个部分:
· 帐户管理:对用户的基本信息(用户名、密码)以及相关属性的管理。
· 角色管理:对用户可执行的系统功能以及可操作的系统资源权限的管理。
· 密码管理:对用户密码设置控制、密码更新与老化以及用户登录控制等方面进行管理。
为使请求某种服务的用户可以成功登录设备,需要在设备上添加相应的帐户。所谓用户,是指在设备上设置的一组用户属性的集合,该集合以用户名唯一标识。一个有效的用户条目中可包括用户名、密码、角色、可用服务、密码管理等属性。
对登录用户权限的控制,是通过为用户赋予一定的角色来实现。一个角色中定义了允许用户执行的系统功能以及可操作的系统资源,具体实现如下:
· 通过角色规则实现对系统功能的操作权限的控制。例如,定义用户角色规则允许用户配置A功能,或禁止用户配置B功能。
· 通过资源控制策略实现对系统资源(接口、VLAN、VPN实例、安全域)的操作权限的控制。例如,定义资源控制策略允许用户操作VLAN 10,禁止用户操作接口GigabitEthernet1/0/1。
一个角色中可以包含多条规则,规则定义了允许/禁止用户操作某类实体的权限。
Web界面支持的实体类型为Web菜单,即通过Web对设备进行配置时,各配置页面以Web菜单的形式组织,按照层次关系,形成多级菜单的树形结构。
对实体的操作权限包括:
· 读权限:可查看指定实体的配置信息和维护信息。
· 写权限:可配置指定实体的相关功能和参数。
· 执行权限:可执行特定的功能,如与FTP服务器建立连接。
定义一个规则,就等于约定允许或禁止用户针对某类实体具有哪些操作权限。对于Web菜单实体,控制Web菜单的规则就是用来控制指定的Web菜单选项是否允许被操作。因为每个菜单项中的操作控件具有相应的读,写或执行属性,所以定义基于Web菜单的规则时,可以精细地控制菜单项中读、写或执行控件的操作。
一个用户角色中可以定义多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以使用的功能为这些规则中定义的可使用功能的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许使用功能A,规则2允许使用功能B,规则3禁止使用功能A,则最终规则2和规则3生效,即禁止使用功能A,允许使用功能B。
资源控制策略规定了用户对系统资源的操作权限。在用户角色中可定义四种类型的资源控制策略,分别为接口策略、VLAN策略、VPN策略和安全域策略。它们分别定义了用户允许操作的接口、VLAN、VPN实例和安全域。对接口/VLAN/VPN实例/安全域的操作是指创建并进入接口策略视图/VLAN策略视图/VPN实例策略视图/安全域策略视图、删除和应用接口/VLAN/VPN实例/安全域。
资源控制策略需要与用户角色规则相配合才能生效。在用户配置Web页面功能的过程中,系统对该Web配置操作涉及的系统资源使用权限进行动态检测,因此只有用户同时拥有配置相应Web页面功能的权限和使用该资源的权限时,才能配置成功。例如,若管理员为某用户角色定义了一条规则允许用户创建VLAN,同时定义了一条VLAN策略允许用户操作VLAN 10,则当用户被授权此用户角色并试图创建VLAN 10时,操作会被允许,但试图创建其它VLAN时,操作会被禁止。若管理员并没有为该用户角色定义规则允许用户创建VLAN,则即便用户拥有该VLAN资源的操作权限,也无法配置相关的功能。
系统预定义了多种角色,角色名和对应的权限如表-1所示。这些角色缺省均具有操作所有系统资源的权限,但具有不同的系统功能操作权限。如果系统预定义的用户角色无法满足权限管理需求,管理员还可以自定义用户角色来对用户权限做进一步控制。
角色名 |
权限 |
network-admin |
可操作系统所有功能和资源 |
network-operator |
· 可执行系统所有功能和资源的相关查看功能 · 可执行切换Context(Context,多租户设备环境)视图的功能 · 如果用户采用本地认证方式登录系统并被授予该角色,则可以修改自己的密码 · 可进入XML视图 · 允许用户操作所有读类型的Web菜单选项 · 允许用户操作所有读类型的XML元素 · 允许用户操作所有读类型的OID |
context-admin |
可操作该Context所有功能和资源 |
context-operator |
· 可执行该Context所有功能和资源的相关查看功能 · 如果用户采用本地认证方式登录系统并被授予该角色,则可以修改自己的密码 · 可进入XML视图 · 允许用户操作所有读类型的Web菜单选项 · 允许用户操作所有读类型的XML元素 · 允许用户操作所有读类型的OID |
level-n (n = 0~15) |
· level-n (n = 0~15) · level-0:可使用ping、tracert、ssh2、telnet和super功能,且管理员可以为其配置权限 · level-1:具有level-0用户角色的权限,并且可执行系统所有功能和资源的相关查看功能,以及管理员可以为其配置权限 · level-2~level-8和level-10~level-14:无缺省权限,需要管理员为其配置权限 · level-9:可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能使用如下功能:角色、Context、文件管理、设备管理以及本地用户特性。对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码 · level-15:具有与network-admin角色相同的权限(不支持Context的设备) · level-15:在缺省Context中,具有与network-admin角色相同的权限;在非缺省Context中,具有与context-admin角色相同的权限(支持Context的设备) · level-15:在缺省Context中,具有与network-admin角色相同的权限;在非缺省Context中,具有与context-admin角色相同的权限(支持Context的设备) |
guest-manager |
来宾用户管理员,只能查看和配置与来宾有关的web页面 |
security-audit |
安全日志管理员,仅具有安全日志文件的读、写、执行权限,具体如下: · 可使用安全日志文件管理相关的功能 · 可使用安全日志文件操作相关的功能 以上权限,仅安全日志管理员角色独有,其它任何角色均不具备 |
· 缺省Context中系统预定义了表-1中的所有用户角色,而非缺省Context中没有network-admin和network-operator两种用户角色。 · 只有具有network-admin、context-admin或者level-15用户角色的用户登录设备后才可以使用角色功能的相关配置,以及可以创建/修改/删除本地用户和本地用户组;其它角色的用户,即使被授权对本地用户和本地用户组的操作权限,也仅仅具有修改自身密码的权限,没有除此之外的对本地用户和本地用户组的任何操作权限。 · 预定义的用户角色中,仅用户角色level-0~level-14可以通过自定义规则和资源控制策略调整自身的权限。 |
根据用户认证登录方式的不同,为用户授权角色分为以下三类:
· 对于通过本地AAA认证登录设备的用户,由本地用户配置决定为其授权的用户角色。
· 对于通过AAA远程认证登录设备的用户,由AAA服务器的配置决定为其授权的用户角色。
· 对于非AAA认证登录设备的非SSH用户,由用户线配置决定为其授权的用户角色;通过publickey或password-publickey认证登录设备的SSH用户,由同名的设备管理类本地用户配置决定为其授权的用户角色。
将有效的角色成功授权给用户后,登录设备的用户才能以各角色所具有的权限来配置、管理或者监控设备。如果用户没有被授权任何角色,将无法成功登录设备。
一个用户可同时拥有多个角色。拥有多个角色的用户可获得这些角色中被允许执行的功能以及被允许操作的资源的集合。
为了提高用户登录密码的安全性,可通过定义密码管理策略对用户的登录密码进行管理,并对用户的登录状态进行控制。
管理员可以限制用户密码的最小长度。当设置用户密码时,如果输入的密码长度小于设置的密码最小长度,系统将不允许设置该密码。缺省情况下,密码的最小长度为10个字符。
为确保用户的登录密码具有较高的复杂度,要求管理员为其设置的密码必须符合一定的复杂度要求,只有符合要求的密码才能设置成功。目前,可配置的复杂度要求包括:
· 不允许密码中包含用户名或颠倒的用户名。例如,用户名为“abc”,那么“abc982”或者“2cba”之类的密码就不符合复杂度要求。
· 不允许密码中包含连续三个或以上的相同字符。例如,密码“a111”就不符合复杂度要求。
管理员可以设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元素包括以下4种类型:
· [A~Z]
· [a~z]
· [0~9]
· 32个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密码元素的组合类型有4种,具体涵义如下:
· 组合类型为1表示密码中至少包含1种元素;
· 组合类型为2表示密码中至少包含2种元素;
· 组合类型为3表示密码中至少包含3种元素;
· 组合类型为4表示密码中包含4种元素。
当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。缺省情况下,密码元素的组合类型为1种,每种元素的个数为1个。
管理员可以设置用户登录设备后修改自身密码的最小间隔时间。有两种情况下的密码更新并不受该功能的约束:开启密码管理后,用户首次登录设备时系统要求用户修改密码和密码老化后系统要求用户修改密码。
当用户登录密码的使用时间超过密码老化时间后,需要用户更换密码。如果用户输入的新密码不符合要求,或连续两次输入的新密码不一致,系统将要求用户重新输入。对于FTP用户,密码老化后,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。缺省情况下,密码的老化时间为90天。
在用户登录时,系统会判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。对于FTP用户,只能由管理员修改FTP用户的密码;对于Telnet、SSH、Terminal(通过Console口登录设备)用户可自行修改密码。
管理员可以设置用户密码过期后在指定的时间内还能登录设备的次数。这样,密码老化的用户不需要立即更新密码,依然可以登录设备。例如,管理员设置密码老化后允许用户登录的时间为15天、次数为3次,那么用户在密码老化后的15天内,还能继续成功登录3次。
管理员可以设置系统保存用户密码历史记录。当用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在当前用户密码历史记录中,系统将提示用户密码更改失败。另外,用户更改密码时,系统会将新设置的密码与所有历史记录密码以及当前密码逐一比较,要求新密码至少与旧密码有4字符不同。并且,这4个字符必须互不相同,否则密码更改失败。
可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。
由于设备管理类本地用户配置的密码在哈希运算后以密文的方式保存,配置一旦生效后就无法还原为明文密码,因此,设备管理类本地用户的当前登录密码不会被记录到密码历史记录中。
密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。
每次用户认证失败后,系统会将该用户加入密码管理的黑名单。可加入密码管理功能黑名单的用户包括:FTP用户和通过VTY方式访问设备的用户。不会加入密码管理功能黑名单的用户包括:用户名不存在的用户、通过Console口连接到设备的用户。
当用户连续尝试认证的失败累加次数达到用户登录尝试的最大次数时,系统对用户的后续登录行为有以下三种处理措施:
· 永久禁止登录。只有管理员把该用户从密码管理的黑名单中删除后,该用户才能重新登录。
· 暂时禁止登录。当配置的禁止时间超时或者管理员将其从密码管理的黑名单中删除,该用户才可以重新登录。
· 允许继续登录。在该用户登录成功后,该用户会从密码管理的黑名单中删除。
缺省情况下,用户登录尝试次数为3次。如果用户登录失败,则允许该用户在1分钟后重新登录。
管理员可以限制用户帐号的闲置时间。在配置的闲置时间内,用户从未成功登录过,此用户帐户将失效,系统不再允许使用该帐号的用户登录。
· 由于本地用户缺省就拥有一个角色,如果要赋予本地用户新的角色,请确认是否需要保留这个缺省的角色,若不需要,请删除。
· 系统中唯一一个拥有安全日志管理员角色的用户不可被删除。
· 安全日志管理员角色与其它角色互斥,在给用户配置了安全日志管理员角色的情况下,不能再为用户配置其他角色,反之亦然。
· 允许修改角色的接口/VLAN/VPN实例/安全域权限,但修改后的权限只在被授权该角色的用户重新登录时才会生效。
· 修改后的规则对于当前已经在线的用户不生效,对于之后使用该角色登录设备的用户生效。
· 若要使得具体的密码管理功能生效,需在管理员页面菜单栏的<密码管理>中开启密码管理功能。
· 开启密码管理之后,首次设置的登录用户密码必须至少由四个不同的字符组成。
· 对于FTP用户,密码过期后,系统不允许其继续登录,也不允许FTP用户自行更改密码,只能由管理员修改FTP用户的密码。
· 由于FTP用户不支持计费,因此FTP用户不受同时在线最大用户数限制。
· 在管理员页面菜单栏的<密码管理>中配置的内容对所有设备管理类的本地用户生效。对于密码老化时间、密码最小长度、密码复杂度检查和密码组合检查这几种功能,可分别在<密码管理>和新建管理员页面的高级设置中配置相关参数,其生效优先级从高到低依次为:新建管理员页面的配置->密码管理中的配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!