- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-三权分立功能典型配置举例
本章节下载 (524.00 KB)
目录
本文档介绍F1000-C8102设备三权分立功能配置举例,包括各管理员权限划分及权限分配的管理。
F1000-C8102三权分立共有四种管理员,分别为原内嵌管理员admin,三权分立后account用户、authority用户、audit用户,可以分别有以下权限:
· admin账户:内嵌管理员用户,三权模式下由authority用户对其进行功能授权,以实现对功能点权限为只读或可读写,进而对功能进行操作控制。
· account用户:account负责账号创建,可新建自定义系统管理员;可进行操作日志查看。
· authority用户:可以系统管理员功能模块授权,模块细分读写或只读模式。
· audit用户:审核管理员可对用户权限监控及操作日志查看。
F1000-C8102的三权分立主要为一些资质审核公司要求管理员互相制约互相监控的功能。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解三权管理功能特性。
· F1000-C8102设备切换为三权分立后无法切回普通模式。
· F1000-C8102设备切换三权分立后由于admin账号无功能授权登录后无任何功能执行权限,需由authority账号进行权限分配。
如图1所示,F1000-C8102设备以透明模式串接在某公司网络的核心交换机和出口路由器之间,具体应用需求如下:
· F1000-C8102设备开启三权模式,F1000-C8102设备使用的IP地址为192.168.1.1/24。
· 需要authority用户给admin用户分配权限,分别分配:网络管理、网络优化、资源管理、防火墙的执行权限。
· F1000-C8102设备account用户新建自定义用户为test,只分配系统监控、日志查询、防火墙的只读权限。
· F1000-C8102设备管理模式为“三权模式”。
· 使用account用户新建管理员test。
· 使用authority用户对admin用户进行读写授权,分别为分配:网络管理、网络优化、资源管理、防火墙的执行权限。
· 使用authority用户对test用户进行分配系统监控、日志查询的只读权限。
· 账户新建只能由account用户新建。
· 切换三权模式需慎重,不可回切。
· 所有用户初始密码均为admin。
如图2所示,使用http或https的方式登录F1000-C8102设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
图2 登录H3C 设备 Web网管
(1) 模式切换为三权模式
如图3所示,进入“系统管理> 管理员> 管理设定> 模式切换”,选择<三权模式>并确定。
(2) 使用account用户新建自定义用户
如图4所示,使用account用户登录,点击<新建>,配置用户名为“test”,密码为自定义符合复杂度密码,其它配置保持默认,并点击<提交>。
如图5所示,创建成功的用户配置如下。
(3) 使用authority用户对admin用户进行权限分配
如图6所示,使用authority用户登录,点击admin账号后
图标,分配:网络管理、网络优化、资源管理、防火墙的执行权限,将全选只读勾掉,在此页面上点击<提交>。
如图7所示,权限分配成功的账号信息如下。
图7 Admin权限分配配置成功
如图8所示,使用authority用户登录,点击test账号后
图标,分配:系统监控、日志查询,在此页面上点击<提交>。
(1) 验证admin用户权限
如图9所示,使用admin用户对网络管理等授权功能模块可读可写可执行。
如图10所示,使用自定义test用户对监控等授权只读模块只有只读权限。
图10 自定义test用户登录查看权限
如图11所示,audit用户登录只有审核员权限。
图11 F1000-C8102设备audit审核员登录
admin-switch three-power-mode!
· 《H3C SecPath F1000-C8102安全产品管理平台Web配置指导》中的“三权分立”
· 《H3C SecPath F1000-C8102安全产品管理平台故障处理手册》中的“三权分立故障处理”
· 《H3C SecPath F1000-C8102安全产品管理平台配置指导》中的“三权分立配置指导”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
