- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
39-H3C SR6600_SR6600-X路由器 RBAC典型配置举例
本章节下载 (244.40 KB)
H3C SR6600/SR6600-X系列路由器
RBAC配置举例
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文介绍了如何通过RBAC(Role Based Access Control,基于角色的访问控制)来对登录用户的权限进行控制的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解RBAC的特性。
如图1所示,为了加强用户登录的安全性,采用本地AAA认证对登录设备的Telnet用户进行认证。使得Telnet用户具有如下权限:
· 允许执行特性ospf相关的所有读写类型命令。
· 允许执行特性filesystem相关的所有读写类型命令。
· 为了使Telnet用户能够具备以上权限,需要创建Telnet本地用户和用户角色role1,并对Telnet用户授予用户角色role1。
· 通过配置用户角色规则,限定Telnet用户可以执行特性特性ospf和filesystem相关的读写类型命令。
· 为了确保Telnet用户仅使用授权的用户角色role1,需要删除用户具有的缺省用户角色。
本举例是在R8128版本上进行配置和验证的。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 配置接口
# 为接口GigabitEthernet2/0/1配置IP地址。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] ip address 192.168.1.50 24
[Sysname-GigabitEthernet2/0/1] quit
(2) 配置Telnet用户登录设备的认证方式
# 开启设备的Telnet服务器功能。
[Sysname] telnet server enable
# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。
[Sysname] line vty 0 63
[Sysname-line-vty0-63] authentication-mode scheme
[Sysname-line-vty0-63] quit
(3) 配置ISP域bbb的AAA方法
# 创建ISP域bbb,为login用户配置的AAA方法为本地认证、本地授权。
[Sysname] domain bbb
[Sysname-isp-bbb] authentication login local
[Sysname-isp-bbb] authorization login local
[Sysname-isp-bbb] quit
(4) 配置设备管理类本地用户telnetuser的密码和服务类型。
# 创建设备管理类本地用户telnetuser。
[Sysname] local-user telnetuser class manage
# 配置用户的密码是明文的123456TESTplat&!。
[Sysname-luser-manage-telnetuser] password simple 123456TESTplat&!
# 指定用户的服务类型是Telnet。
[Sysname-luser-manage-telnetuser] service-type telnet
[Sysname-luser-manage-telnetuser] quit
(5) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
[Sysname] role name role1
# 配置用户角色规则1,允许用户执行特性ospf中所有读写类型的命令。
[Sysname-role-role1] rule 1 permit read write feature ospf
# 配置用户角色规则2,允许用户执行特性filesystem中所有读写类型的命令。
[Sysname-role-role1] rule 2 permit read write feature filesystem
[Sysname-role-role1] quit
(6) 为本地用户配置授权用户角色
# 进入设备管理类本地用户telnetuser视图。
[Sysname] local-user telnetuser class manage
# 指定用户telnetuser的授权角色为role1。
[Sysname-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Sysname-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Sysname-luser-manage-telnetuser] quit
(1) 查看用户角色信息
# 通过display role命令查看显示用户角色role1的信息。
<Sysname> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RW- feature ospf
2 permit RW- feature filesystem
R:Read W:Write X:Execute
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2017 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Sysname>
(3) 验证用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
¡ 可执行特性ospf中所有写类型的命令。(以配置OSPF为例)
[Sysname] ospf 1
[Sysname-ospf-1] area 0
[Sysname-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
¡ 可执行特性ospf相关的读类型命令。
[Sysname] show ospf
OSPF Process 1 with Router ID 192.168.1.50
OSPF Protocol Information
RouterID: 192.168.1.50 Router type:
Route tag: 0
Multi-VPN-Instance is not enabled
Ext-community type: Domain ID 0x5, Route Type 0x306, Router ID 0x107
Domain ID: 0.0.0.0
Opaque capable
ISPF is enabled
SPF-schedule-interval: 5 50 200
LSA generation interval: 5 50 200
LSA arrival interval: 1000
Transmit pacing: Interval: 20 Count: 3
Default ASE parameters: Metric: 1 Tag: 1 Type: 2
Route preference: 10
ASE route preference: 150
SPF calculation count: 0
RFC 1583 compatible
Fast-reroute: Remote-lfa Disabled
Maximum-cost: 4294967295
Node-Protecing Preference: 40
Lowest-cost Preference: 20
Graceful restart interval: 120
SNMP trap rate limit interval: 10 Count: 7
Area count: 0 NSSA area count: 0
ExChange/Loading neighbors: 0
MPLS segment routing: Disabled
Segment routing adjacency : Disabled
Effective SRGB : 16000 24000
Segment routing local block : 15000 15999
Segment routing tunnel count: 0
¡ 可执行特性filesystem相关的所有读写类型命令。(以配置设备发送FTP报文的源IP地址为192.168.0.60为例)
[Sysname-a] ftp client source ip 192.168.0.60
[Sysname-a] quit
¡ 不能执行特性filesystem相关的执行类型命令。(以进入FTP视图为例)
<Sysname-a> ftp
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
interface GigabitEthernet2/0/1
ip address 192.168.1.50 24
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write feature ospf
rule 2 permit read write feature filesystem
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
如图2所示,为了加强用户登录的安全性,采用本地AAA认证对登录设备的Telnet用户进行认证。登录设备的Telnet用户能够进行用户角色的切换,即在不下线的情况下,临时改变自身对系统的操作权限。当前Telnet用户被授权为用户角色role1,用户角色role1具有如下权限:
· 允许执行系统预定义特性组L3相关的所有命令。
· 允许执行所有以display开头的命令。
· 允许执行所有以super开头的命令。
· 具有所有接口、VLAN和VPN实例资源的操作权限。
现要求,Telnet用户能够被切换到用户角色role2和network-operator,其中用户角色role2具有如下权限:
· 允许执行系统预定义特性组L2相关的所有命令。
· 具有所有接口、VLAN和VPN实例资源的操作权限。
· 缺省情况下,用户角色切换的认证方式为local。在本例中Telnet用户登录设备的认证方式为本地AAA认证,因此,配置用户角色切换时的认证方式为local。
· 为了使Telnet用户telnetuser能够进行切换用户角色,需要创建本地用户角色role1和role2,并配置相应的配置用户角色规则和资源控制策略。
· 为了保证操作的安全性,Telnet用户将用户角色切换到不同的用户角色时,需要配置相应切换密码。
本举例是在R8128版本上进行配置和验证的。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
· 切换后的用户角色只对当前登录生效,用户重新登录后,又会恢复到原有用户角色。
(1) 配置接口
# 为接口GigabitEthernet2/0/1配置IP地址。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] ip address 192.168.1.50 24
[Sysname-GigabitEthernet2/0/1] quit
(2) 配置Telnet用户登录设备的认证方式
# 开启设备的Telnet服务器功能。
[Sysname] telnet server enable
# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。
[Sysname] line vty 0 63
[Sysname-line-vty0-63] authentication-mode scheme
[Sysname-line-vty0-63] quit
(3) 配置ISP域bbb的AAA方法
# 创建ISP域bbb,为login用户配置的AAA方法为本地认证、本地授权。
[Sysname] domain bbb
[Sysname-isp-bbb] authentication login local
[Sysname-isp-bbb] authorization login local
[Sysname-isp-bbb] quit
(4) 配置设备管理类本地用户telnetuser的密码和服务类型
# 创建设备管理类本地用户telnetuser。
[Sysname] local-user telnetuser class manage
# 配置用户的密码是明文的123456TESTplat&!。
[Sysname-luser-manage-telnetuser] password simple 123456TESTplat&!
# 指定用户的服务类型是Telnet。
[Sysname-luser-manage-telnetuser] service-type telnet
[Sysname-luser-manage-telnetuser] quit
(5) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
[Sysname] role name role1
# 配置用户角色规则1,允许用户执行预定义特性组L3相关的所有命令。
[Sysname-role-role1] rule 1 permit execute read write feature-group L3
# 配置用户角色规则2,允许用户执行所有以display开头的命令。
[Sysname-role-role1] rule 2 permit command display *
# 配置用户角色规则3,允许用户执行所有以super开头的命令。
[Sysname-role-role1] rule 3 permit command super *
[Sysname-role-role1] quit
(6) 创建用户角色role2,并配置用户角色规则
# 创建用户角色role2,进入用户角色视图。
[Sysname] role name role2
# 配置用户角色规则1,允许用户执行预定义特性组L2相关的所有命令。
[Sysname-role-role2] rule 1 permit execute read write feature-group L2
[Sysname-role-role2] quit
(7) 为本地用户配置授权用户角色
# 进入设备管理类本地用户telnetuser视图。
[Sysname] local-user telnetuser class manage
# 指定用户telnetuser的授权角色为role1。
[Sysname-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Sysname-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Sysname-luser-manage-telnetuser] quit
(8) 配置用户角色切换的方式及切换密码
# 配置Telnet用户切换用户角色时采用local认证方式(系统缺省值为local)。
[Sysname] super authentication-mode local
# 配置Telnet用户将用户角色切换到role2时使用的密码为明文密码123456TESTplat&!。
[Sysname] super password role role2 simple 123456TESTplat&!
# 配置Telnet用户将用户角色切换到network-operator时使用的密码为明文密码987654TESTplat&!。
[Sysname] super password role network-operator simple 987654TESTplat&!
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1、role2和network-operator的信息。
# 显示用户角色role1的信息。
<Sysname> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L3
2 permit command display *
3 permit command super *
R:Read W:Write X:Execute
# 显示用户角色role2的信息。
<Sysname> display role name role2
Role: role2
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L2
R:Read W:Write X:Execute
# 显示用户角色network-operator的信息。
[Sysname] display role name network-operator
Role: network-operator
Description: Predefined network operator role has access to all read commands
on the Sysname
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command display *
sys-2 permit command xml
sys-3 deny command display history-command all
sys-4 deny command display exception *
sys-5 deny command display cpu-usage configuration
*
sys-6 deny command display kernel exception *
sys-7 deny command display kernel deadloop *
sys-8 deny command display kernel starvation *
sys-9 deny command display kernel reboot *
sys-10 deny command display memory trace *
sys-11 deny command display kernel memory *
sys-12 permit command system-view ; local-user *
sys-13 permit command system-view ; switchto mdc *
sys-14 permit R-- xml-element -
sys-15 deny command display security-logfile summary
sys-16 deny command system-view ; info-center securi
ty-logfile directory *
sys-17 deny command security-logfile save
R:Read W:Write X:Execute
通过display role feature-group命令查看特性组L2和L3中包括的特性信息,此处不详细介绍。
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2017 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Sysname>
(3) 验证切换用户角色前的用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
¡ 可执行特性组L3中特性相关的所有命令。(以创建VPN实例vpn1为例)
<Sysname> system-view
[Sysname] ip vpn-instance vpn1
¡ 可执行所有以display开头的命令。(以显示系统当前日期和时间为例)
<Sysname> display clock
09:31:56 UTC Wed 01/01/2017
<Sysname>
(4) 验证切换用户角色
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
a. 在用户视图下使用super命令切换到用户角色role2。
<Sysname> super role2
Password:
User privilege role is role2, and only those commands that authorized to the rol
e can be used.
<Sysname>
b. 切换到用户角色role2后,可执行特性组L2中特性相关的所有命令。(以创建VLAN 10为例)
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] quit
[Sysname] quit
c. 切换到用户角色role2后,不能执行非特性组L2中特性相关的命令。(以切换到用户角色network-operator为例)
<Sysname> super network-operator
Permission denied.
d. 切换到用户角色role2后,不能执行以display开头的命令。(以显示系统当前日期和时间为例)
<Sysname> display clock
Permission denied.
e. Telnet用户重新登录设备后,才能执行所有以super开头的命令。(以切换到用户角色network-operator并输入相应的切换密码为例)
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2017 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Sysname>
<Sysname> super network-operator
Password:
User privilege role is network-operator, and only those commands that authorized
to the role can be used.
<Sysname>
通过显示信息可以确认配置生效。
#
telnet server enable
#
interface GigabitEthernet2/0/1
ip address 192.168.1.50 24
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
super password role role2 hash $h$6$D0kjHFktkktzgR5g$e673xFnIcKytCj6EDAw+pvwgh3
/ung3WNWHnrUTnXT862B+s7PaLfKTdil8ef71RBOvuJvPAZHjiLjrMPyWHQw==
super password role network-operator hash $h$6$3s5KMmscn9hJ6gPx$IcxbNjUc8u4yxwR
m87b/Jki8BoPAxw/s5bEcPQjQj/cbbXwTVcnQGL91WOd7ssO2rX/wKzfyzAO5VhBTn9Q4zQ==
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write execute feature-group L3
rule 2 permit command display *
rule 3 permit command super *
#
role name role2
rule 1 permit read write execute feature-group L2
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
· H3C SR6600 SR6600-X 路由器 基础配置配置指导-R7607
· H3C SR6600 SR6600-X 路由器 基础配置命令参考-R7607
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
