H3C针对特定管理员的权限管理
H3C针对特定管理员的权限管理
报送单位:四川电力公司                  审核人:
类型:主机网络
关键字:管理员权限、H3C
1、引言
随着省公司新大楼的搬迁,省公司楼层内外网交换机将新上一大批二层交换设备作为用户接入使用。其中部分前期工作交给了其他第三方公司部署,因此网管人员需要建立一个特殊账号给第三方人员使用。但为了相关安全工作,只能给予此账号部分命令权限。
2、现象描述
由于此账号只需要管理员可以配置VLAN,进入接口配置IP地址,并做相关描述,最后将相关交换机端口划入指定VLAN,最后可以查询相关配置是否正确。因此给予这几条命令已经足够。
3、处理过程
H3C用户相关级别:
级别  名称    命令
0    参观  ping、tracert、telnet
1    监控  display、debugging (具有所有的查看权限)
2    配置  所有配置命令(管理级的命令除外)
3    管理  文件系统命令、FTP 命令、TFTP 命令、XMODEM 命令
1、首先建立账号及相关密码。
local-user aaaa
service-type telnet ssh
pass xxxx
lev 1
ssh user xxxx authentication-type password
ssh user xxxx service-type stelnet
super password level 3 cipher xxxx
public-key local create rsa
public-key local create dsa
2、配置此账号只能执行的相关命令。
command-privilege level 0 view system display
command-privilege level 0 view system display arp
command-privilege lev 0 view shell display ip
command-privilege level 0 view system display ip routing-table
command-privilege level 0 view system display mac-address
command-privilege lev 0 view shell system
command-privilege level 0 view system interface
command-privilege level 0 view system quit
command-privilege level 0 view system interface eth
command-privilege level 0 view system interface eth 1/0/1取得管理员权限
command-privilege level 0 view ethernet description
command-privilege level 0 view ethernet description scdl
command-privilege level 0 view ethernet port
command-privilege level 0 view ethernet port access
command-privilege level 0 view ethernet port access vlan
command-privilege level 0 view ethernet port access vlan 1
command-privilege level 0 view system display this
command-privilege level 0 view ethernet shutdown
command-privilege level 0 view ethernet undo
command-privilege level 0 view ethernet undo shutdown
command-privilege level 0 view sys save
4、原因分析
只有使用command-privilege level 0 给予最低权限上做相关配置,若不是在0级别,则会得到其他级别的相关执行命令权限。
5、经验总结
在用户视图上,在级别权限上要想执行system-view命令,必须有command-privilege lev 0 view shell system。在不同的视图下才能给予不同的命令权限,若不清楚有哪些视图,可以在command-privilege level 0 view下打问号即可知道。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。