SR8800路由器RBAC配置手册

上传人:1473****695 文档编号:141770350 上传时间:2020-08-12 格式:PDF 页数:22 大小:464.29KB
返回 下载 相关 举报
SR8800路由器RBAC配置手册_第1页
第1页 / 共22页
SR8800路由器RBAC配置手册_第2页
第2页 / 共22页
SR8800路由器RBAC配置手册_第3页
第3页 / 共22页
SR8800路由器RBAC配置手册_第4页
第4页 / 共22页
SR8800路由器RBAC配置手册_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《SR8800路由器RBAC配置手册》由会员分享,可在线阅读,更多相关《SR8800路由器RBAC配置手册(22页珍藏版)》请在金锄头文库上搜索。

1、H3C SR8800 路由器 RBAC 配置手册 i 目 录 1 简介1 2 配置前提1 3 特定特性中读写类型命令的执行权限配置举例1 3.1 组网需求1 3.2 配置思路1 3.3 使用版本2 3.4 配置注意事项2 3.5 配置步骤2 3.6 验证配置3 3.7 配置文件5 4 Telnet 用户 RADIUS 认证 /授权 /计费配置举例5 4.1 组网需求5 4.2 配置思路6 4.3 使用版本6 4.4 配置注意事项6 4.5 配置步骤6 4.5.1 设备配置6 4.5.2 RADIUS服务器配置8 4.6 验证配置10 4.7 配置文件12 5 用户在某些 VPN 中具有特定特性

2、的执行权限配置举例12 5.1 组网需求12 5.2 配置思路13 5.3 使用版本13 5.4 配置注意事项13 5.5 配置步骤14 5.5.1 设备配置14 5.5.2 RADIUS服务器配置15 5.6 验证配置17 5.7 配置文件18 6 创建新用户角色并授权更改用户权限配置举例19 ii 6.1 组网需求19 6.2 配置思路20 6.3 使用版本20 6.4 配置注意事项20 6.5 配置步骤20 6.6 验证配置23 6.6.1 配置更改用户权限前的验证23 6.6.2 配置更改用户权限后的验证24 6.7 配置文件25 7 切换用户角色权限配置举例26 7.1 组网需求26

3、 7.2 配置思路26 7.3 使用版本27 7.4 配置注意事项27 7.5 配置步骤27 7.6 验证配置28 7.7 配置文件31 8 流量控制执行权限配置举例32 8.1 组网需求32 8.2 配置思路33 8.3 使用版本33 8.4 配置注意事项33 8.5 配置步骤33 8.5.1 设备配置33 8.5.2 RADIUS服务器配置35 8.6 验证配置38 8.7 配置文件41 9 相关资料42 1 1 简介 本文介绍了如何通过RBAC (Role Based Access Control,基于角色的访问控制)来对登录用户的 权限进行控制的典型配置举例。 2 配置前提 本文档不严

4、格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品 手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺 省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置 不冲突。 本文档假设您已了解RBAC 的特性。 3 特定特性中读写类型命令的执行权限配置举例 3.1 组网需求 如 图 1 所示,为了加强用户登录的安全性,采用本地AAA 认证对登录设备的Telnet 用户进行认证。 使得 Telnet 用户具有如下权限: 允许执行特性ospf 相关的所有读写类型命令。 允许执行特

5、性filesystem 相关的所有读写类型命令。 图1 特定特性中读写类型命令的执行权限配置组网图 3.2 配置思路 为了使 Telnet 用户能够具备以上权限,需要创建Telnet 本地用户和用户角色role1 ,并 对 Telnet 用户授予用户角色role1 。 通过配置用户角色规则,限定Telnet 用户可以执行特性特性ospf 和 filesystem 相关的读写类 型命令。 为了确保 Telnet 用户仅使用授权的用户角色role1,需要删除用户具有的缺省用户角色。 2 3.3 使用版本 本举例是在SR8800-CMW710-R7143 版本上进行配置和验证的。 3.4 配置注意事

6、项 一个 ISP 域被配置为缺省的ISP 域后将不能够被删除,必须首先使用命令undo domain default enable 将其修改为非缺省ISP 域,然后才可以被删除。 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色 的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有 冲突,则规则编号大的有效。例如,规则1 允许执行命令A,规则 2 允许执行命令B,规则 3 禁止执行命令A,则最终规则2 和规则 3 生效,即禁止执行命令A,允许执行命令B。 3.5 配置步骤 (1) 配置接口 # 为接口GigabitEthernet3/

7、0/1 配置IP 地址。 system-view Sysname interface GigabitEthernet 3/0/1 Sysname-GigabitEthernet3/0/1 ip address 192.168.1.50 24 Sysname-GigabitEthernet3/0/1 quit (2) 配置 Telnet 用户登录设备的认证方式 # 开启设备的Telnet 服务器功能。 Sysname telnet server enable # 在编号为063 的 VTY 用户线下,配置Telnet 用户登录采用AAA 认证方式。 Sysname line vty 0 63 S

8、ysname-line-vty0-63 authentication-mode scheme Sysname-line-vty0-63 quit (3) 配置 ISP 域 bbb 的 AAA 方法 # 创建ISP 域 bbb ,为login 用户配置的AAA 方法为本地认证、本地授权。 Sysname domain bbb Sysname-isp-bbb authentication login local Sysname-isp-bbb authorization login local Sysname-isp-bbb quit (4) 配置设备管理类本地用户telnetuser 的密码和服

9、务类型。 # 创建设备管理类本地用户telnetuser 。 Sysname local-user telnetuser class manage # 配置用户的密码是明文的aabbcc 。 Sysname-luser-manage-telnetuser password simple aabbcc # 指定用户的服务类型是Telnet 。 Sysname-luser-manage-telnetuser service-type telnet Sysname-luser-manage-telnetuser quit 3 (5) 创建用户角色role1 ,并配置用户角色规则 # 创建用户角色ro

10、le1 ,进入用户角色视图。 Sysname role name role1 # 配置用户角色规则1,允许用户执行特性ospf 中所有读写类型的命令。 Sysname-role-role1 rule 1 permit read write feature ospf # 配置用户角色规则2,允许用户执行特性filesystem 中所有读写类型的命令。 Sysname-role-role1 rule 2 permit read write feature filesystem Sysname-role-role1 quit (6) 为本地用户配置授权用户角色 # 进入设备管理类本地用户telnet

11、user 视图。 Sysname local-user telnetuser class manage # 指定用户telnetuser 的授权角色为role1 。 Sysname-luser-manage-telnetuser authorization-attribute user-role role1 # 为保证用户仅使用授权的用户角色role1 , 删除用户telnetuser 具有的缺省用户角色 network-operator。 Sysname-luser-manage-telnetuser undo authorization-attribute user-role networ

12、k-operator Sysname-luser-manage-telnetuser quit 3.6 验证配置 (1) 查看用户角色信息 # 通过display role 命令查看显示用户角色role1 的信息。 display role name role1 Role: role1 Description: VLAN policy: permit (default) Interface policy: permit (default) VPN instance policy: permit (default) - Rule Perm Type Scope Entity - 1permit

13、RW- feature ospf 2permit RW- feature filesystem R:Read W:Write X:Execute (2) 用户登录设备 用户向设备发起Telnet 连接,在Telnet 客户端按照提示输入用户名telnetuserbbb 及正确的密码 后,成功登录设备。 C:Documents and Settingsuser telnet 192.168.1.50 * *Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserved. * *Without the owners

14、prior written consent, * *no decompiling or reverse-engineering shall be allowed. * 4 * login: telnetuserbbb Password: (3) 验证用户权限 Telnet 用户成功登录设备后,可通过如下步骤验证用户的权限: 可执行特性ospf 中所有写类型的命令。(以配置OSPF 为例) Sysname ospf 1 Sysname-ospf-1 area 0 Sysname-ospf-1-area-0.0.0.0 network 1.1.1.1 0.0.0.0 可执行特性ospf 相关的读类

15、型命令。 Sysname display ospf OSPF Process 1 with Router ID 192.168.1.50 OSPF Protocol Information RouterID: 192.168.1.50 Router type: Route tag: 0 Multi-VPN-Instance is not enabled Ext-community type: Domain ID 0 x5, Route Type 0 x306, Router ID 0 x107 Domain ID: 0.0.0.0 Opaque capable ISPF is enabled SPF-schedule-interval: 5 50 200 LSA generation interval: 5 50 200 LSA arrival interval:

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号