- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
35-RBAC典型配置举例
本章节下载: 35-RBAC典型配置举例 (309.26 KB)
目 录
本文介绍了通过RBAC对登录设备的用户权限进行控制的典型配置举例。
本文档适用于使用Comware V9软件版本的路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解RBAC的特性。
如图1所示,为了加强用户登录的安全性,采用本地AAA认证对登录设备的Telnet用户进行认证。使得Telnet用户具有如下权限:
· 允许执行特性ospf相关的所有读写类型命令。
· 允许执行特性filesystem相关的所有读写类型命令。
· 为了使Telnet用户能够具备以上权限,需要创建Telnet本地用户和用户角色role1,并对Telnet用户授予用户角色role1。
· 通过配置用户角色规则,限定Telnet用户可以执行特性特性ospf和filesystem相关的读写类型命令。
· 为了确保Telnet用户仅使用授权的用户角色role1,需要删除用户具有的缺省用户角色。
本举例是在ICG2000H设备的R9141P16版本上进行配置和验证的。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 配置接口
# 为接口GigabitEthernet0/0/1配置IP地址。
<Router> system-view
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 192.168.1.50 24
[Router-GigabitEthernet0/0/1] quit
(2) 配置Telnet用户登录设备的认证方式
# 开启设备的Telnet服务器功能。
[Router] telnet server enable
# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。
[Router] line vty 0 63
[Router-line-vty0-63] authentication-mode scheme
[Router-line-vty0-63] quit
(3) 配置ISP域bbb的AAA方法
# 创建ISP域bbb,为login用户配置的AAA方法为本地认证、本地授权。
[Router] domain bbb
[Router-isp-bbb] authentication login local
[Router-isp-bbb] authorization login local
[Router-isp-bbb] quit
(4) 配置设备管理类本地用户telnetuser的密码和服务类型。
# 创建设备管理类本地用户telnetuser。
[Router] local-user telnetuser class manage
# 配置用户的密码是明文的123456TESTplat&!。
[Router-luser-manage-telnetuser] password simple 123456TESTplat&!
# 指定用户的服务类型是Telnet。
[Router-luser-manage-telnetuser] service-type telnet
[Router-luser-manage-telnetuser] quit
(5) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
[Router] role name role1
# 配置用户角色规则1,允许用户执行特性ospf中所有读写类型的命令。
[Router-role-role1] rule 1 permit read write feature ospf
# 配置用户角色规则2,允许用户执行特性filesystem中所有读写类型的命令。
[Router-role-role1] rule 2 permit read write feature filesystem
[Router-role-role1] quit
(6) 为本地用户配置授权用户角色
# 进入设备管理类本地用户telnetuser视图。
[Router] local-user telnetuser class manage
# 指定用户telnetuser的授权角色为role1。
[Router-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Router-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Router-luser-manage-telnetuser] quit
[Router] quit
(1) 查看用户角色信息
# 通过display role命令查看显示用户角色role1的信息。
<Router> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RW- feature ospf
2 permit RW- feature filesystem
R:Read W:Write X:Execute
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2023 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Router>
(3) 验证用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
¡ 可执行特性ospf中所有写类型的命令。(以配置OSPF为例)
[Router] ospf 1
[Router-ospf-1] area 0
[Router-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[Router-ospf-1-area-0.0.0.0] quit
[Router-ospf-1] quit
¡ 可执行特性ospf相关的读类型命令。
[Router] show ospf
OSPF Process 1 with Router ID 192.168.1.50
OSPF Protocol Information
RouterID: 192.168.1.50 Router type:
Route tag: 0
Multi-VPN-Instance is not enabled
Ext-community type: Domain ID 0x5, Route Type 0x306, Router ID 0x107
Domain ID: 0.0.0.0
Opaque capable
Isolation: Disabled
ISPF is enabled
SPF-schedule-interval: 5 50 200
LSA generation interval: 5 50 200
LSA arrival interval: 1000
Transmit pacing: Interval: 20 Count: 3
Default ASE parameters: Metric: 1 Tag: 1 Type: 2
Route preference: 10
ASE route preference: 150
SPF calculation count: 0
RFC 1583 compatible
Fast-reroute: Remote-lfa Disabled
Maximum-cost: 4294967295
Node-Protecing Preference: 40
Lowest-cost Preference: 20
Graceful restart interval: 120
SNMP trap rate limit interval: 10 Count: 7
Area count: 1 NSSA area count: 0
ExChange/Loading neighbors: 0
MPLS segment routing: Disabled
Segment routing adjacency : Disabled
Effective SRGB : 16000 24000
Segment routing local block : 15000 15999
Segment routing tunnel count: 0
Area: 0.0.0.0 (MPLS TE not enabled)
Authentication type: None Area flag: Normal
SPF scheduled count: 0
ExChange/Loading neighbors: 0
¡ 可执行特性filesystem相关的所有读写类型命令。(以配置设备发送FTP报文的源IP地址为192.168.0.60为例)
[Router] ftp client source ip 192.168.0.60
[Router] quit
¡ 不能执行特性filesystem相关的执行类型命令。(以进入FTP视图为例)
<Router> ftp
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
interface GigabitEthernet0/0/1
ip address 192.168.1.50 24
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write feature ospf
rule 2 permit read write feature filesystem
#
local-user telnetuser class manage
password hash $h$6$kZw1rKFsAY4lhgUz$+teVLy8gmKN4Mr00VWgXQTB8ai94gKHlrys5OkytGf4
kT+nz5X1ZGASjc282CYAR6A1upH2jbmRoTcfDzZ9Gmw==
service-type telnet
authorization-attribute user-role role1
#
本举例是在ICG2000H设备的R9141P16版本上进行配置和验证的。
如图2所示,为了加强用户登录的安全性,采用RADIUS服务器对登录设备的Telnet用户进行认证、授权,使得Telnet用户有如下权限:
· 允许执行系统预定义特性组L3相关的所有命令。
· 允许执行所有以display开头的命令。
· 只允许对特定VPN实例vpn1、vpn2和vpn3进行操作。
图2 某些VPN中具有特定特性的执行权限配置组网图
· 为了授权Telnet用户可以执行所要求权限的命令,需要创建用户角色role1并配置对应的用户角色规则和资源控制策略。
· 为了使Telnet用户能够具备以上权限,需要在RADIUS服务器上配置Telnet用户授权用户角色role1。
本举例是在ICG2000H设备的R9141P16版本上进行配置和验证的。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 配置接口和路由
# 为接口GigabitEthernet0/0/1配置IP地址。
<Router> system-view
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 192.168.1.50 24
[Router-GigabitEthernet0/0/1] quit
# 为接口GigabitEthernet0/0/2置IP地址。
[Router] interface gigabitethernet 0/0/2
[Router-GigabitEthernet0/0/2] ip address 10.1.1.2 24
[Router-GigabitEthernet0/0/2] quit
# 配置缺省路由,使得Telnet用户到RADIUS服务器路由可达。
[Router] ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
(2) 配置Telnet用户登录设备的认证方式
# 开启设备的Telnet服务器功能。
[Router] telnet server enable
# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。
[Router] line vty 0 63
[Router-line-vty0-63] authentication-mode scheme
[Router-line-vty0-63] quit
(3) 配置RADIUS方案和认证服务器
# 创建RADIUS方案rad。
[Router] radius scheme rad
# 配置主认证/授权服务器的IP地址为10.1.1.1,主计费服务器的IP地址为10.1.1.1。
[Router-radius-rad] primary authentication 10.1.1.1
[Router-radius-rad] primary accounting 10.1.1.1
# 配置与认证/授权服务器、主计费服务器交互报文时的共享密钥为明文aabbcc。
[Router-radius-rad] key authentication simple aabbcc
[Router-radius-rad] key accounting simple aabbcc
[Router-radius-rad] quit
(4) 配置ISP域bbb的AAA方法
# 创建ISP域bbb,为login用户配置的AAA认证方法为RADIUS认证、RADIUS授权、RADIUS计费。
[Router] domain bbb
[Router-isp-bbb] authentication login radius-scheme rad
[Router-isp-bbb] authorization login radius-scheme rad
[Router-isp-bbb] accounting login radius-scheme rad
[Router-isp-bbb] quit
(5) 在设备上创建用户角色role1,并配置用户角色规则和资源控制策略
# 创建用户角色role1,进入用户角色视图。
[Router] role name role1
# 配置用户角色规则1,允许用户执行预定义特性组L3相关的所有命令。
[Router-role-role1] rule 1 permit execute read write feature-group L3
# 配置用户角色规则2,允许用户执行所有以display开头的命令。
[Router-role-role1] rule 2 permit command display *
# 进入用户角色VPN策略视图,配置允许用户具有操作VPN实例vpn1、vpn2和vpn3的权限。
[Router-role-role1] vpn-instance policy deny
[Router-role-role1-vpnpolicy] permit vpn-instance vpn1 vpn2 vpn3
[Router-role-role1-vpnpolicy] quit
[Router-role-role1] quit
[Router] quit
下面以iMC为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),说明RADIUS服务器的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。
· 设置认证及计费的端口号分别为“1812”和“1813”;
· 设置与AC交互报文时使用的认证、计费共享密钥和确认共享密钥为“aabbcc”;
· 选择业务类型为“设备管理业务”;
· 选择接入设备类型为“H3C”;
· 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图3 增加接入设备
# 增加设备管理用户。
选择“用户”页签,单击导航树中的[接入用户管理/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。
· 创建用户名,这里输入“telnetuser@bbb”,并配置密码和确认密码;
· 选择服务类型为“Telnet”;
· 添加用户角色名“role1”;
· 添加所管理设备的IP地址,IP地址范围为“10.1.1.0~10.1.1.10”;
· 单击<确定>按钮完成操作。
图4 增加设备管理用户
(1) 查看用户角色和特性组信息
# 通过display role命令查看用户角色role1的信息。
<Router> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: deny
Permitted VPN instances: vpn1, vpn2, vpn3
Security zone policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L3
2 permit command display *
R:Read W:Write X:Execute
通过display role feature-group命令查看特性组L3中包括的特性信息,此处不详细介绍。
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
******************************************************************************
* Copyright (c) 2004-2023 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: telnetuser@bbb
Password:
<Router>
(3) 验证用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
¡ 可执行系统预定义特性组L3中的所有命令。(以创建VPN实例vpn1并配置其RD为22:1为例)
<Router> system-view
[Router] ip vpn-instance vpn1
[Router-vpn-instance-vpn1] route-distinguisher 22:1
[Router-vpn-instance-vpn1] display this
#
ip vpn-instance vpn1
route-distinguisher 22:1
#
return
[Router-vpn-instance-vpn1] quit
¡ 不能操作其它VPN实例。(以VPN实例vpn5为例)
[Router] ip vpn-instance vpn5
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
interface GigabitEthernet0/0/1
ip address 192.168.1.50 24
#
interface GigabitEthernet0/0/2
ip address 10.1.1.2 24
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
ip route-static 0.0.0.0 0 10.1.1.1
#
radius scheme rad
primary authentication 10.1.1.1
primary accounting 10.1.1.1
key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==
key accounting cipher $c$3$CdejNYYxvjW0Y+Zydi4rZgBwjYb4h6LKmg==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login radius-scheme rad
#
role name role1
rule 1 permit read write execute feature-group L3
rule 2 permit command display *
vpn-instance policy deny
permit vpn-instance vpn1
permit vpn-instance vpn2
permit vpn-instance vpn3
#
本举例是在ICG2000H设备的R9141P16版本上进行配置和验证的。
本举例是在ICG2000H设备的R9141P16版本上进行配置和验证的。
本举例是在ICG2000H设备的R9141P16版本上进行配置和验证的。
· 《H3C ICG2000[3000]信息通信网关 配置指导(V9)》中的“基础配置指导”
· 《H3C ICG2000[3000]信息通信网关 命令参考(V9)》中的“基础配置命令参考”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
