01-RBAC典型配置举例
本章节下载: 01-RBAC典型配置举例 (586.67 KB)
目 录
本文介绍了如何通过RBAC(Role Based Access Control,基于角色的访问控制)来对登录用户的权限进行控制的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解RBAC的特性。
如图1所示,为了加强用户登录的安全性,采用本地AAA认证对登录设备的Telnet用户进行认证。具体需求如下:
· 在本例中需要创建名称为bbb的ISP域,并要求Telnet用户通过ISP域bbb接入网络。
· 创建设备管理类本地用户telnetuser,并设置登录密码。Telnet用户登录设备时,使用本地配置的用户名telnetuser@bbb以及密码进行认证。
Telnet用户telnetuser@bbb具有如下权限:
· 允许执行特性ospf相关的所有读写类型命令。
· 允许执行特性filesystem相关的所有读写类型命令。
· 为了使Telnet用户能够具备以上权限,需要创建Telnet本地用户和用户角色role1,并对Telnet用户授予用户角色role1。
· 通过配置用户角色规则,限定Telnet用户可以执行特性ospf和filesystem相关的读写类型命令。
· 为了确保Telnet用户仅使用授权的用户角色role1,需要删除用户具有的缺省用户角色。
表1 适用产品及版本
产品 |
软件版本 |
S12500G-AF |
Release 8053P05及以上版本 |
S12500CR |
Release 8053P05及以上版本 |
S10500X-G |
Release 7753P05及以上版本 |
S7500X-G |
Release 7753P05及以上版本 |
S7000X |
Release 7753P05及以上版本 |
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] quit
[Sysname] interface Ten-GigabitEthernet3/0/24
[Sysname-Ten-GigabitEthernet3/0/24] port access vlan 2
[Sysname-Ten-GigabitEthernet3/0/24] quit
(2) 创建VLAN接口2并配置IP地址。
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] ip address 192.168.1.50 24
[Sysname-Vlan-interface2] quit
(3) 配置Telnet用户登录设备的认证方式
# 开启设备的Telnet服务器功能。
[Sysname] telnet server enable
# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。
[Sysname] line vty 0 63
[Sysname-line-vty0-63] authentication-mode scheme
[Sysname-line-vty0-63] quit
(4) 配置ISP域bbb的AAA方法
# 创建ISP域bbb,为login用户配置的AAA方法为本地认证、本地授权。
[Sysname] domain bbb
[Sysname-isp-bbb] authentication login local
[Sysname-isp-bbb] authorization login local
[Sysname-isp-bbb] quit
(5) 配置设备管理类本地用户telnetuser的密码和服务类型。
# 创建设备管理类本地用户telnetuser。
[Sysname] local-user telnetuser class manage
# 配置用户的密码是明文的123456TESTplat&!。
[Sysname-luser-manage-telnetuser] password simple 123456TESTplat&!
# 指定用户的服务类型是Telnet。
[Sysname-luser-manage-telnetuser] service-type telnet
[Sysname-luser-manage-telnetuser] quit
(6) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
[Sysname] role name role1
# 配置用户角色规则1,允许用户执行特性ospf中所有读写类型的命令。
[Sysname-role-role1] rule 1 permit read write feature ospf
# 配置用户角色规则2,允许用户执行特性filesystem中所有读写类型的命令。
[Sysname-role-role1] rule 2 permit read write feature filesystem
[Sysname-role-role1] quit
(7) 为本地用户配置授权用户角色
# 进入设备管理类本地用户telnetuser视图。
[Sysname] local-user telnetuser class manage
# 指定用户telnetuser的授权角色为role1。
[Sysname-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Sysname-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Sysname-luser-manage-telnetuser] quit
(1) 查看用户角色信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Sysname> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RW- feature ospf
2 permit RW- feature filesystem
R:Read W:Write X:Execute
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
login: telnetuser@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname>
(3) 验证用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
¡ 可执行特性ospf中所有写类型的命令。
<Sysname> system-view
[Sysname] ospf 1
[Sysname-ospf-1] area 0
[Sysname-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[Sysname-ospf-1-area-0.0.0.0] quit
[Sysname-ospf-1] quit
¡ 可执行特性ospf相关的读类型命令。
[Sysname] display ospf
OSPF Process 1 with Router ID 192.168.1.50
OSPF Protocol Information
RouterID: 192.168.1.50 Router type:
Route tag: 0
Multi-VPN-Instance is not enabled
Ext-community type: Domain ID 0x5, Route Type 0x306, Router ID 0x107
Domain ID: 0.0.0.0
Opaque capable
ISPF is enabled
SPF-schedule-interval: 5 50 200
LSA generation interval: 5 50 200
LSA arrival interval: 1000
Transmit pacing: Interval: 20 Count: 3
Default ASE parameters: Metric: 1 Tag: 1 Type: 2
Route preference: 10
ASE route preference: 150
SPF calculation count: 0
RFC 1583 compatible
Graceful restart interval: 120
SNMP trap rate limit interval: 10 Count: 7
Area count: 0 NSSA area count: 0
ExChange/Loading neighbors: 0
¡ 可执行特性filesystem相关的所有读写类型命令。(以配置设备发送FTP报文的源IP地址为192.168.0.60为例)
[Sysname] ftp client source ip 192.168.0.60
[Sysname] quit
¡ 不能执行特性filesystem相关的执行类型命令。(以进入FTP视图为例)
<Sysname> ftp
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet3/0/24
port access vlan 2
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write feature ospf
rule 2 permit read write feature filesystem
#
local-user telnetuser class manage
password hash $h$6$hMNE7NuSKFRyu9zq$Ax3jtGrz2wzra3eLRG3sY43FISfTy5slNobnltVCE+X
BWLKjxoSHEk7LDAVHI+AhXjv5bvlVomXw5LL20O1uTw==
service-type telnet
authorization-attribute user-role role1
如图2所示,Telnet用户主机与设备相连,设备与一台RADIUS服务器相连,需要实现RADIUS服务器对登录设备的Telnet用户进行认证、授权和计费,使得Telnet用户具有如下用户权限:
· 允许用户执行ISP视图下的所有命令;
· 允许用户执行ARP和RADIUS特性中读和写类型的命令;
· 允许用户执行创建VLAN以及进入VLAN视图后的相关命令,并只具有操作VLAN 10~VLAN 20的权限;
· 允许用户执行进入接口视图以及接口视图下的相关命令,并具有操作接口Ten-GigabitEthernet3/0/1~Ten-GigabitEthernet3/0/3的权限。
图2 Telnet用户RADIUS认证/授权/计费配置组网图
· 为了使Telnet用户可以执行ARP和RADIUS特性的读写类型命令,可创建特性组feature-group1,配置包含ARP和RADIUS特性。
· 为了授权Telnet用户可以执行所要求权限的命令,需要配置对应的用户角色规则和资源控制策略。
· 为了使Telnet用户能够具备以上权限,需要在RADIUS服务器上对Telnet用户授权用户角色role1。
表2 适用产品及版本
产品 |
软件版本 |
S12500G-AF |
Release 8053P05及以上版本 |
S12500CR |
Release 8053P05及以上版本 |
S10500X-G |
Release 7753P05及以上版本 |
S7500X-G |
Release 7753P05及以上版本 |
S7000X |
Release 7753P05及以上版本 |
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] quit
[Sysname] interface Ten-GigabitEthernet3/0/24
[Sysname-Ten-GigabitEthernet3/0/24] port access vlan 2
[Sysname-Ten-GigabitEthernet3/0/24] quit
(2) 创建VLAN接口2并配置IP地址。
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] ip address 192.168.1.50 24
[Sysname-Vlan-interface2] quit
(3) 创建VLAN 3并将Switch连接RADIUS server的端口划分到VLAN 3中。
[Sysname] vlan 3
[Sysname-vlan3] quit
[Sysname] interface Ten-GigabitEthernet3/0/23
[Sysname-Ten-GigabitEthernet3/0/23] port access vlan 3
[Sysname-Ten-GigabitEthernet3/0/23] quit
(4) 创建VLAN接口3并配置IP地址。
[Sysname] interface Vlan-interface 3
[Sysname-Vlan-interface3] ip address 10.1.1.2 24
[Sysname-Vlan-interface3] quit
(5) 配置Telnet用户登录Switch的认证方式
[Sysname] telnet server enable
# 配置Telnet用户登录采用AAA认证方式。
[Sysname] line vty 0 63
[Sysname-line-vty0-63] authentication-mode scheme
[Sysname-line-vty0-63] quit
(6) 配置RADIUS方案和认证服务器
# 创建RADIUS方案rad。
[Sysname] radius scheme rad
# 配置主认证/授权服务器的IP地址为10.1.1.1,主计费服务器的IP地址为10.1.1.1。
[Sysname-radius-rad] primary authentication 10.1.1.1
[Sysname-radius-rad] primary accounting 10.1.1.1
# 配置与认证/授权服务器、主计费服务器交互报文时的共享密钥为明文aabbcc。
[Sysname-radius-rad] key authentication simple aabbcc
[Sysname-radius-rad] key accounting simple aabbcc
[Sysname-radius-rad] quit
(7) 配置ISP域bbb的AAA方法
# 创建ISP域bbb,为login用户配置的AAA认证方法为RADIUS认证、RADIUS授权、RADIUS计费。
[Sysname] domain bbb
[Sysname-isp-bbb] authentication login radius-scheme rad
[Sysname-isp-bbb] authorization login radius-scheme rad
[Sysname-isp-bbb] accounting login radius-scheme rad
[Sysname-isp-bbb] quit
(8) 配置特性组
# 创建特性组fgroup1。
[Sysname] role feature-group name fgroup1
# 配置特性组fgroup1中包含特性ARP和RADIUS。
[Sysname-featuregrp-fgroup1] feature arp
[Sysname-featuregrp-fgroup1] feature radius
[Sysname-featuregrp-fgroup1] quit
(9) 在设备上创建用户角色role1,并配置用户角色规则和资源控制策略
# 创建用户角色role1。
[Sysname] role name role1
# 配置用户角色规则1,允许用户执行ISP视图下的所有命令。
[Sysname-role-role1] rule 1 permit command system-view ; domain *
# 配置用户角色规则2,允许用户执行特性组fgroup1中所有特性的读和写类型的命令。
[Sysname-role-role1] rule 2 permit read write feature-group fgroup1
# 配置用户角色规则3,允许用户执行创建VLAN的命令。
[Sysname-role-role1] rule 3 permit command system-view ; vlan *
# 配置用户角色规则4,允许用户执行进入接口视图以及接口视图下的相关命令。
[Sysname-role-role1] rule 4 permit command system-view ; interface *
# 进入VLAN策略视图,允许用户具有操作VLAN 10~VLAN 20的权限。
[Sysname-role-role1] vlan policy deny
[Sysname-role-role1-vlanpolicy] permit vlan 10 to 20
[Sysname-role-role1-vlanpolicy] quit
# 进入接口策略视图,允许用户具有操作接口Ten-GigabitEthernet3/0/1~Ten-GigabitEthernet3/0/3的权限。
[Sysname-role-role1] interface policy deny
[Sysname-role-role1-ifpolicy] permit interface Ten-GigabitEthernet 3/0/1 to Ten-GigabitEthernet 3/0/3
[Sysname-role-role1-ifpolicy] quit
[Sysname-role-role1] quit
下面以iMC为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),说明RADIUS服务器的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。
· 设置认证及计费的端口号分别为“1812”和“1813”;
· 设置与AC交互报文时使用的认证、计费共享密钥和确认共享密钥为“aabbcc”;
· 选择业务类型为“设备管理业务”;
· 选择接入设备类型;
· 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 增加设备管理用户。
选择“用户”页签,单击导航树中的[接入用户管理/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。
· 创建用户名,这里输入“telnetuser@bbb”,并配置密码和确认密码;
· 选择服务类型为“Telnet”;
· 添加用户角色名“role1”;
· 添加所管理设备的IP地址,IP地址范围为“10.1.1.0~10.1.1.10”;
· 单击<确定>按钮完成操作。
图3 增加设备管理用户
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Sysname> display role name role1
Role: role1
Description:
VLAN policy: deny
Permitted VLANs: 10 to 20
Interface policy: deny
Permitted interfaces: Ten-GigabitEthernet3/0/1 to Ten-GigabitEthernet3/0/3
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit command system-view ; domain *
2 permit RW- feature-group fgroup1
3 permit command system-view ; vlan *
4 permit command system-view ; interface *
R:Read W:Write X:Execute
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
login: telnetuser@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname>
(3) 验证用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
¡ 可执行ISP视图下所有的命令。
<Sysname> system-view
[Sysname] domain abc
[Sysname-isp-abc] authentication login radius-scheme abc
[Sysname-isp-abc] quit
¡ 可执行RADIUS特性中读和写类型的命令。(ARP特性同,此处不再举例)
[Sysname] radius scheme rad
[Sysname-radius-rad] primary authentication 2.2.2.2
[Sysname-radius-rad] display radius scheme rad
[Sysname-radius-rad] quit
¡ 可操作VLAN 10~VLAN 20。(以创建VLAN 10、VLAN 30为例)
[Sysname] vlan 10
[Sysname-vlan10] quit
[Sysname] vlan 30
Permission denied.
¡ 可操作接口Ten-GigabitEthernet3/0/1~Ten-GigabitEthernet3/0/3。
[Sysname] interface Ten-GigabitEthernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] speed auto
[Sysname-Ten-GigabitEthernet3/0/1] quit
¡ 不能操作其它接口。(以进入Ten-GigabitEthernet3/0/6接口视图为例)
[Sysname] interface Ten-GigabitEthernet 3/0/6
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Vlan-interface3
ip address 10.1.1.2 255.255.255.0
#
interface Ten-GigabitEthernet3/0/23
port access vlan 3
#
interface Ten-GigabitEthernet3/0/24
port access vlan 2
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
radius scheme rad
primary authentication 10.1.1.1
primary accounting 10.1.1.1
key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==
key accounting cipher $c$3$CdejNYYxvjW0Y+Zydi4rZgBwjYb4h6LKmg==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login radius-scheme rad
#
role feature-group name fgroup1
feature arp
feature radius
#
role name role1
rule 1 permit command system-view ; domain *
rule 2 permit read write feature-group fgroup1
rule 3 permit command system-view ; vlan *
rule 4 permit command system-view ; interface *
vlan policy deny
permit vlan 10 to 20
interface policy deny
permit interface Ten-GigabitEthernet3/0/1 to Ten-GigabitEthernet3/0/3
#
如图4所示,为了加强用户登录的安全性,采用RADIUS服务器对登录设备的Telnet用户进行认证、授权和计费,使得Telnet用户有如下权限:
· 允许执行系统预定义特性组L3相关的所有命令。
· 允许执行所有以display开头的命令。
· 只允许对特定VPN实例vpn1、vpn2和vpn3进行操作。
图4 某些VPN中具有特定特性的执行权限配置组网图
· 为了授权Telnet用户可以执行所要求权限的命令,需要创建用户角色role1并配置对应的用户角色规则和资源控制策略。
· 为了使Telnet用户能够具备以上权限,需要在RADIUS服务器上配置Telnet用户授权用户角色role1。
表3 适用产品及版本
产品 |
软件版本 |
S12500G-AF |
Release 8053P05及以上版本 |
S12500CR |
Release 8053P05及以上版本 |
S10500X-G |
Release 7753P05及以上版本 |
S7500X-G |
Release 7753P05及以上版本 |
S7000X |
Release 7753P05及以上版本 |
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
(1) 创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] quit
[Sysname] interface Ten-GigabitEthernet3/0/24
[Sysname-Ten-GigabitEthernet3/0/24] port access vlan 2
[Sysname-Ten-GigabitEthernet3/0/24] quit
(2) 创建VLAN接口2并配置IP地址。
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] ip address 192.168.1.50 24
(3) 创建VLAN 3并将Switch连接RADIUS server的端口划分到VLAN 3中。
<Sysname> system-view
[Sysname] vlan 3
[Sysname-vlan3] quit
[Sysname] interface Ten-GigabitEthernet3/0/23
[Sysname-Ten-GigabitEthernet3/0/23] port access vlan 3
[Sysname-Ten-GigabitEthernet3/0/23] quit
(4) 创建VLAN接口3并配置IP地址。
[Sysname] interface Vlan-interface 3
[Sysname-Vlan-interface2] ip address 10.1.1.2 24
(5) 配置Telnet用户登录设备的认证方式
# 开启设备的Telnet服务器功能。
[Sysname] telnet server enable
# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。
[Sysname] line vty 0 63
[Sysname-line-vty0-63] authentication-mode scheme
[Sysname-line-vty0-63] quit
(6) 配置RADIUS方案和认证服务器
# 创建RADIUS方案rad。
[Sysname] radius scheme rad
# 配置主认证/授权服务器的IP地址为10.1.1.1,主计费服务器的IP地址为10.1.1.1。
[Sysname-radius-rad] primary authentication 10.1.1.1
[Sysname-radius-rad] primary accounting 10.1.1.1
# 配置与认证/授权服务器、主计费服务器交互报文时的共享密钥为明文aabbcc。
[Sysname-radius-rad] key authentication simple aabbcc
[Sysname-radius-rad] key accounting simple aabbcc
[Sysname-radius-rad] quit
(7) 配置ISP域bbb的AAA方法
# 创建ISP域bbb,为login用户配置的AAA认证方法为RADIUS认证、RADIUS授权、RADIUS计费。
[Sysname] domain bbb
[Sysname-isp-bbb] authentication login radius-scheme rad
[Sysname-isp-bbb] authorization login radius-scheme rad
[Sysname-isp-bbb] accounting login radius-scheme rad
[Sysname-isp-bbb] quit
(8) 在设备上创建用户角色role1,并配置用户角色规则和资源控制策略
# 创建用户角色role1,进入用户角色视图。
[Sysname] role name role1
# 配置用户角色规则1,允许用户执行预定义特性组L3相关的所有命令。
[Sysname-role-role1] rule 1 permit execute read write feature-group L3
# 配置用户角色规则2,允许用户执行所有以display开头的命令。
[Sysname-role-role1] rule 2 permit command display *
# 进入用户角色VPN策略视图,配置允许用户具有操作VPN实例vpn1、vpn2和vpn3的权限。
[Sysname-role-role1] vpn policy deny
[Sysname-role-role1-vpnpolicy] permit vpn-instance vpn1 vpn2 vpn3
[Sysname-role-role1-vpnpolicy] quit
[Sysname-role-role1] quit
下面以iMC为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),说明RADIUS服务器的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。
· 设置认证及计费的端口号分别为“1812”和“1813”;
· 设置与AC交互报文时使用的认证、计费共享密钥和确认共享密钥为“aabbcc”;
· 选择业务类型为“设备管理业务”;
· 选择接入设备类型;
· 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 增加设备管理用户。
选择“用户”页签,单击导航树中的[接入用户管理/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。
· 创建用户名,这里输入“telnetuser@bbb”,并配置密码和确认密码;
· 选择服务类型为“Telnet”;
· 添加用户角色名“role1”;
· 添加所管理设备的IP地址,IP地址范围为“10.1.1.0~10.1.1.10”;
· 单击<确定>按钮完成操作。
图5 增加设备管理用户
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Sysname> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: deny
Permitted VPN instances: vpn1, vpn2, vpn3
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L3
2 permit command display *
R:Read W:Write X:Execute
通过display role feature-group命令查看特性组L3中包括的特性信息,此处不详细介绍。
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
login: telnetuser@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname>
(3) 验证用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
¡ 可执行系统预定义特性组L3中的所有命令。(以创建VPN实例vpn1并配置其RD为22:1为例)
<Sysname> system-view
[Sysname] ip vpn-instance vpn1
[Sysname-vpn-instance-vpn1] route-distinguisher 22:1
[Sysname-vpn-instance-vpn1] display this
#
ip vpn-instance vpn1
route-distinguisher 22:1
#
return
[Sysname-vpn-instance-vpn1] quit
¡ 不能操作其它VPN实例。(以VPN实例vpn5为例)
[Sysname] ip vpn-instance vpn5
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Vlan-interface3
ip address 10.1.1.2 255.255.255.0
#
interface Ten-GigabitEthernet3/0/23
port access vlan 3
#
interface Ten-GigabitEthernet3/0/24
port access vlan 2
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
radius scheme rad
primary authentication 10.1.1.1
primary accounting 10.1.1.1
key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==
key accounting cipher $c$3$CdejNYYxvjW0Y+Zydi4rZgBwjYb4h6LKmg==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login radius-scheme rad
#
role name role1
rule 1 permit read write execute feature-group L3
rule 2 permit command display *
vpn-instance policy deny
permit vpn-instance vpn1
permit vpn-instance vpn2
permit vpn-instance vpn3
#
如图6所示,为了加强用户登录的安全性,采用本地AAA认证对登录设备的Telnet用户进行认证。Telnet用户telnetuser1和telnetuser2通过ISP域bbb接入网络,成功登录设备后,均被赋予用户角色role1,具有如下权限:
· 允许执行所有以display开头的命令。
· 允许执行创建VLAN的命令。
· 只允许对VLAN 10~VLAN 15进行操作。
· 只允许对特定接口Ten-GigabitEthernet3/0/1进行操作。
现要求为Telnet用户telnetuser1增加对设备的操作权限,具体需求如下:
· 允许对VLAN 16~VLAN 20进行操作。
· 允许对特定接口Ten-GigabitEthernet3/0/2~Ten-GigabitEthernet3/0/3进行操作。
· 为了使Telnet用户telnetuser1增加上述权限,并且不改变Telnet用户telnetuser2的权限,可以通过创建用户角色role2,并对Telnet用户telnetuser1授予用户角色role2。
· 为了增加Telnet用户telnetuser1可执行所要求权限的命令,需要配置用户角色规则和资源控制策略。
表4 适用产品及版本
产品 |
软件版本 |
S12500G-AF |
Release 8053P05及以上版本 |
S12500CR |
Release 8053P05及以上版本 |
S10500X-G |
Release 7753P05及以上版本 |
S7500X-G |
Release 7753P05及以上版本 |
S7000X |
Release 7753P05及以上版本 |
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
· 用户可以同时被授权多个用户角色。拥有多个用户角色的用户可获得这些角色中被允许执行的功能以及被允许操作的资源的集合。
· 对当前在线用户授权新的用户角色,待该用户重新上线后才能生效。
(1) 创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] quit
[Sysname] interface Ten-GigabitEthernet3/0/23
[Sysname-Ten-GigabitEthernet3/0/23] port access vlan 2
[Sysname-Ten-GigabitEthernet3/0/23] quit
[Sysname] interface Ten-GigabitEthernet3/0/24
[Sysname-Ten-GigabitEthernet3/0/24] port access vlan 2
[Sysname-Ten-GigabitEthernet3/0/24] quit
(2) 创建VLAN接口2并配置IP地址。
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] ip address 192.168.1.50 24
(3) 配置Telnet用户登录设备的认证方式
# 开启设备的Telnet服务器功能。
[Sysname] telnet server enable
# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。
[Sysname] line vty 0 63
[Sysname-line-vty0-63] authentication-mode scheme
[Sysname-line-vty0-63] quit
(4) 配置ISP域bbb的AAA方法
# 创建ISP域bbb,为login用户配置的AAA方法为本地认证、本地授权。
[Sysname] domain bbb
[Sysname-isp-bbb] authentication login local
[Sysname-isp-bbb] authorization login local
[Sysname-isp-bbb] quit
(5) 配置设备管理类本地用户telnetuser1和telnetuser2的密码和服务类型
# 创建设备管理类本地用户telnetuser1。
[Sysname] local-user telnetuser1 class manage
# 配置用户的密码是明文的123456TESTplat&!。
[Sysname-luser-manage-telnetuser1] password simple 123456TESTplat&!
# 指定用户的服务类型是Telnet。
[Sysname-luser-manage-telnetuser1] service-type telnet
[Sysname-luser-manage-telnetuser1] quit
# 创建设备管理类本地用户telnetuser2。
[Sysname] local-user telnetuser2 class manage
# 配置用户的密码是明文的123456TESTplat&!。
[Sysname-luser-manage-telnetuser2] password simple 123456TESTplat&!
# 指定用户的服务类型是Telnet。
[Sysname-luser-manage-telnetuser2] service-type telnet
[Sysname-luser-manage-telnetuser2] quit
(6) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
[Sysname] role name role1
# 配置用户角色规则1,允许用户执行所有以display开头的命令。
[Sysname-role-role1] rule 1 permit command display *
# 配置用户角色规则2,允许执行进入VLAN视图命令。
[Sysname-role-role1] rule 2 permit command system-view ; vlan *
# 配置用户角色规则3,允许执行进入接口视图命令以及进入接口视图后的相关命令。
[Sysname-role-role1] rule 3 permit command system-view ; interface *
# 进入用户角色VLAN策略视图,配置允许用户具有操作VLAN 10~VLAN 15的权限。
[Sysname-role-role1] vlan policy deny
[Sysname-role-role1-vlanpolicy] permit vlan 10 to 15
[Sysname-role-role1-vlanpolicy] quit
# 进入用户角色接口策略视图,配置允许用户具有操作接口Ten-GigabitEthernet3/0/1的权限。
[Sysname-role-role1] interface policy deny
[Sysname-role-role1-ifpolicy] permit interface Ten-GigabitEthernet 3/0/1
[Sysname-role-role1-ifpolicy] quit
[Sysname-role-role1] quit
(7) 为本地用户telnetuser1和telnetuser2配置授权用户角色
# 进入设备管理类本地用户telnetuser1视图。
[Sysname] local-user telnetuser1 class manage
# 指定用户telnetuser1的授权角色role1。
[Sysname-luser-manage-telnetuser1] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser1具有的缺省用户角色network-operator。
[Sysname-luser-manage-telnetuser1] undo authorization-attribute user-role network-operator
[Sysname-luser-manage-telnetuser1] quit
# 进入设备管理类本地用户telnetuser2视图。
[Sysname] local-user telnetuser2 class manage
# 指定用户telnetuser2的授权角色role1。
[Sysname-luser-manage-telnetuser2] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser2具有的缺省用户角色network-operator。
[Sysname-luser-manage-telnetuser2] undo authorization-attribute user-role network-operator
[Sysname-luser-manage-telnetuser2] quit
(8) 创建用户角色role2,并配置用户角色规则
# 创建用户角色role2,进入用户角色视图。
[Sysname] role name role2
# 配置用户角色规则1,允许执行进入接口视图命令以及进入接口视图后的相关命令。
[Sysname-role-role2] rule 1 permit command system-view ; interface *
(9) 为用户角色role2配置VLAN资源控制策略
# 进入用户角色VLAN策略视图,配置允许用户具有操作VLAN 16~VLAN 20的权限。
[Sysname-role-role2] vlan policy deny
[Sysname-role-role2-vlanpolicy] permit vlan 16 to 20
[Sysname-role-role2-vlanpolicy] quit
# 进入用户角色接口策略视图,配置允许用户具有操作接口Ten-GigabitEthernet3/0/2~Ten-GigabitEthernet3/0/3的权限。
[Sysname-role-role2] interface policy deny
[Sysname-role-role2-ifpolicy] permit interface Ten-GigabitEthernet 3/0/2 to Ten-GigabitEthernet 3/0/3
[Sysname-role-role2-ifpolicy] quit
[Sysname-role-role2] quit
(10) 为本地用户telnetuser1配置授权用户角色
# 进入设备管理类本地用户telnetuser1视图。
[Sysname] local-user telnetuser1 class manage
# 指定用户telnetuser1的授权角色role2。
[Sysname-luser-manage-telnetuser1] authorization-attribute user-role role2
[Sysname-luser-manage-telnetuser1] quit
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1的信息。
# 显示用户角色role1的信息。
<Sysname> display role name role1
Role: role1
Description:
VLAN policy: deny
Permitted VLANs: 10 to 15
Interface policy: deny
Permitted interfaces: Ten-GigabitEthernet3/0/1
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit command display *
2 permit command system-view ; vlan *
3 permit command system-view ; interface *
R:Read W:Write X:Execute
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser1@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
login: telnetuser1@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname>
(3) 验证用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
¡ 能够创建VLAN 15。
[Sysname] vlan 15
[Sysname-vlan15] quit
¡ 不能创建VLAN 20。
[Sysname] vlan 20
Permission denied.
¡ 能够操作Ten-GigabitEthernet3/0/1接口。
[Sysname] interface Ten-GigabitEthernet 3/0/1
[Sysname-Ten-GigabitEthernet3/0/1] speed auto
[Sysname-Ten-GigabitEthernet3/0/1] quit
通过显示信息可以确认配置生效。
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role2的信息。
# 显示用户角色role2的信息。
<Sysname> display role name role2
Role: role2
Description:
VLAN policy: deny
Permitted VLANs: 16 to 20
Interface policy: deny
Permitted interfaces: Ten-GigabitEthernet3/0/2~Ten-GigabitEthernet3/0/3
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit command system-view ; interface*
R:Read W:Write X:Execute
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser1@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
login: telnetuser1@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname>
(3) 验证用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
¡ 可创建VLAN 16。
[Sysname] vlan 16
[Sysname-vlan16] quit
¡ 能够操作Ten-GigabitEthernet3/0/2接口。
[Sysname] interface Ten-GigabitEthernet 3/0/2
[Sysname-Ten-GigabitEthernet3/0/2] speed auto
[Sysname-Ten-GigabitEthernet3/0/2] quit
¡ 不能操作其它接口。(以进入Ten-GigabitEthernet3/0/5接口视图为例)
[Sysname] interface Ten-GigabitEthernet 3/0/5
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet3/0/23
port access vlan 2
#
interface Ten-GigabitEthernet3/0/24
port access vlan 2
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit command display *
rule 2 permit command system-view ; vlan *
rule 3 permit command system-view ; interface *
vlan policy deny
permit vlan 10 to 15
interface policy deny
permit interface Ten-GigabitEthernet3/0/1
#
role name role2
rule 1 permit command system-view ; interface *
vlan policy deny
permit vlan 16 to 20
interface policy deny
permit interface Ten-GigabitEthernet3/0/2 to Ten-GigabitEthernet3/0/3
#
local-user telnetuser1 class manage
password hash $h$6$ZVXBC0KT4qd2z5Gy$8QRlxgeztvJr4xqA9AmFAae69PsTYQ20Sq4xueJxnQT
YF4EHd0CeRLxxn61EQQAjHJjo8mGxkW2q7w98RaJe+w==
service-type telnet
authorization-attribute user-role role1
authorization-attribute user-role role2
#
local-user telnetuser2 class manage
password hash $h$6$w0GcDewN/Ln1ZUB8$4/jt0LjA8adyTMVK6CS7RyvnU718XPERxXXxW4Anrzr
//PfUv6fT0nk5GMj2jTpj05x0hzB2pFI9lmMM9omOfw==
service-type telnet
authorization-attribute user-role role1
#
如图7所示,为了加强用户登录的安全性,采用本地AAA认证对登录设备的Telnet用户进行认证。登录设备的Telnet用户能够进行用户角色的切换,即在不下线的情况下,临时改变自身对系统的操作权限。当前Telnet用户被授权为用户角色role1,用户角色role1具有如下权限:
· 允许执行系统预定义特性组L3相关的所有命令。
· 允许执行所有以display开头的命令。
· 允许执行所有以super开头的命令。
· 具有所有接口、VLAN和VPN实例资源的操作权限。
现要求,Telnet用户能够被切换到用户角色role2和network-operator,其中用户角色role2具有如下权限:
· 允许执行系统预定义特性组L2相关的所有命令。
· 具有所有接口、VLAN和VPN实例资源的操作权限。
· 缺省情况下,用户角色切换的认证方式为local。在本例中Telnet用户登录设备的认证方式为本地AAA认证,因此,配置用户角色切换时的认证方式为local。
· 为了使Telnet用户telnetuser能够进行切换用户角色,需要创建本地用户角色role1和role2,并配置相应的配置用户角色规则和资源控制策略。
· 为了保证操作的安全性,Telnet用户将用户角色切换到不同的用户角色时,需要配置相应切换密码。
表5 适用产品及版本
产品 |
软件版本 |
S12500G-AF |
Release 8053P05及以上版本 |
S12500CR |
Release 8053P05及以上版本 |
S10500X-G |
Release 7753P05及以上版本 |
S7500X-G |
Release 7753P05及以上版本 |
S7000X |
Release 7753P05及以上版本 |
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 一个用户角色中允许创建多条规则,各规则以创建时指定的编号为唯一标识,被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突,则规则编号大的有效。例如,规则1允许执行命令A,规则2允许执行命令B,规则3禁止执行命令A,则最终规则2和规则3生效,即禁止执行命令A,允许执行命令B。
· 切换后的用户角色只对当前登录生效,用户重新登录后,又会恢复到原有用户角色。
(1) 创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] quit
[Sysname] interface Ten-GigabitEthernet3/0/24
[Sysname-Ten-GigabitEthernet3/0/24] port access vlan 2
[Sysname-Ten-GigabitEthernet3/0/24] quit
(2) 创建VLAN接口2并配置IP地址。
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] ip address 192.168.1.50 24
(3) 配置Telnet用户登录设备的认证方式
# 开启设备的Telnet服务器功能。
[Sysname] telnet server enable
# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。
[Sysname] line vty 0 63
[Sysname-line-vty0-63] authentication-mode scheme
[Sysname-line-vty0-63] quit
(4) 配置ISP域bbb的AAA方法
# 创建ISP域bbb,为login用户配置的AAA方法为本地认证、本地授权。
[Sysname] domain bbb
[Sysname-isp-bbb] authentication login local
[Sysname-isp-bbb] authorization login local
[Sysname-isp-bbb] quit
(5) 配置设备管理类本地用户telnetuser的密码和服务类型
# 创建设备管理类本地用户telnetuser。
[Sysname] local-user telnetuser class manage
# 配置用户的密码是明文的123456TESTplat&!。
[Sysname-luser-manage-telnetuser] password simple 123456TESTplat&!
# 指定用户的服务类型是Telnet。
[Sysname-luser-manage-telnetuser] service-type telnet
[Sysname-luser-manage-telnetuser] quit
(6) 创建用户角色role1,并配置用户角色规则
# 创建用户角色role1,进入用户角色视图。
[Sysname] role name role1
# 配置用户角色规则1,允许用户执行预定义特性组L3相关的所有命令。
[Sysname-role-role1] rule 1 permit execute read write feature-group L3
# 配置用户角色规则2,允许用户执行所有以display开头的命令。
[Sysname-role-role1] rule 2 permit command display *
# 配置用户角色规则3,允许用户执行所有以super开头的命令。
[Sysname-role-role1] rule 3 permit command super *
[Sysname-role-role1] quit
(7) 创建用户角色role2,并配置用户角色规则
# 创建用户角色role2,进入用户角色视图。
[Sysname] role name role2
# 配置用户角色规则1,允许用户执行预定义特性组L2相关的所有命令。
[Sysname-role-role2] rule 1 permit execute read write feature-group L2
[Sysname-role-role2] quit
(8) 为本地用户配置授权用户角色
# 进入设备管理类本地用户telnetuser视图。
[Sysname] local-user telnetuser class manage
# 指定用户telnetuser的授权角色为role1。
[Sysname-luser-manage-telnetuser] authorization-attribute user-role role1
# 为保证用户仅使用授权的用户角色role1,删除用户telnetuser具有的缺省用户角色network-operator。
[Sysname-luser-manage-telnetuser] undo authorization-attribute user-role network-operator
[Sysname-luser-manage-telnetuser] quit
(9) 配置用户角色切换的方式及切换密码
# 配置Telnet用户切换用户角色时采用local认证方式(系统缺省值为local)。
[Sysname] super authentication-mode local
# 配置Telnet用户将用户角色切换到role2时使用的密码为明文密码123456TESTplat&!。
[Sysname] super password role role2 simple 123456TESTplat&!
#配置Telnet用户将用户角色切换到network-operator时使用的密码为明文密码987654TESTplat&!。
[Sysname] super password role network-operator simple 987654TESTplat&!
(1) 查看用户角色和特性组信息
通过display role命令查看用户角色role1、role2和network-operator的信息。
# 显示用户角色role1的信息。
<Sysname> display role name role1
Role: role1
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L3
2 permit command display *
3 permit command super *
R:Read W:Write X:Execute
# 显示用户角色role2的信息。
<Sysname> display role name role2
Role: role2
Description:
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature-group L2
R:Read W:Write X:Execute
# 显示用户角色network-operator的信息。
<Sysname> display role name network-operator
Role: network-operator
Description: Predefined network operator role has access to all read commands
on the device
VLAN policy: permit (default)
Interface policy: permit (default)
VPN instance policy: permit (default)
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
sys-1 permit command display *
sys-2 permit command xml
sys-3 permit command system-view ; probe ; display *
sys-4 deny command display history-command all
sys-5 deny command display exception *
sys-6 deny command display cpu-usage configuration
*
sys-7 deny command display kernel exception *
sys-8 deny command display kernel deadloop *
sys-9 deny command display kernel starvation *
sys-10 deny command display kernel reboot *
sys-13 permit command system-view ; local-user *
sys-16 permit R-- web-menu -
sys-17 permit RW- web-menu m_device/m_maintenance/m_changep
assword
sys-18 permit R-- xml-element -
sys-19 deny command display security-logfile summary
sys-20 deny command display security-logfile buffer
sys-21 deny command system-view ; info-center securi
ty-logfile directory *
sys-22 deny command security-logfile save
sys-23 deny command system-view ; local-user-import
*
sys-24 deny command system-view ; local-user-export
*
sys-25 permit R-- oid 1
R:Read W:Write X:Execute
通过display role feature-group命令查看特性组L2和L3中包括的特性信息,此处不详细介绍。
(2) 用户登录设备
用户向设备发起Telnet连接,在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
login: telnetuser@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname>
(3) 验证切换用户角色前的用户权限
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
¡ 可执行特性组L3中特性相关的所有命令。(以创建VPN实例vpn1为例)
<Sysname> system-view
[Sysname] ip vpn-instance vpn1
¡ 可执行所有以display开头的命令。(以显示系统当前日期和时间为例)
<Sysname> display clock
13:53:24.357 test Sat 01/01/2018
Time Zone : test add 05:00:00
Summer Time : PDT 06:00:00 08/01 06:00:00 09/01 01:00:00
(4) 验证切换用户角色
Telnet用户成功登录设备后,可通过如下步骤验证用户的权限:
a. 在用户视图下使用super开头的命令。(以切换到用户角色role2并输入相应的切换密码为例)
<Sysname> super role2
Password:
User privilege role is role2, and only those commands that authorized to the role can be used.
<Sysname>
b. 切换到用户角色role2后,可执行特性组L2中特性相关的所有命令。(以创建VLAN 10为例)
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] quit
[Sysname] quit
c. 切换到用户角色role2后,不能执行非特性组L2中特性相关的命令。(以切换到用户角色network-operator为例)
<Sysname> super network-operator
Permission denied.
d. 切换到用户角色role2后,不能执行以display开头的命令。(以显示系统当前日期和时间为例)
<Sysname> display clock
Permission denied.
e. Telnet用户重新登录设备后,才能执行所有以super开头的命令。(以切换到用户角色network-operator并输入相应的切换密码为例)
C:\Documents and Settings\user> telnet 192.168.1.50
login: telnetuser@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname>
<Sysname> super network-operator
Password:
User privilege role is network-operator, and only those commands that authorized
to the role can be used.
<Sysname>
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Ten-GigabitEthernet3/0/24
port access vlan 2
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
super password role role2 hash $h$6$D0kjHFktkktzgR5g$e673xFnIcKytCj6EDAw+pvwgh3
/ung3WNWHnrUTnXT862B+s7PaLfKTdil8ef71RBOvuJvPAZHjiLjrMPyWHQw==
super password role network-operator hash $h$6$3s5KMmscn9hJ6gPx$IcxbNjUc8u4yxwR
m87b/Jki8BoPAxw/s5bEcPQjQj/cbbXwTVcnQGL91WOd7ssO2rX/wKzfyzAO5VhBTn9Q4zQ==
#
domain bbb
authentication login local
authorization login local
#
role name role1
rule 1 permit read write execute feature-group L3
rule 2 permit command display *
rule 3 permit command super *
#
role name role2
rule 1 permit read write execute feature-group L2
#
local-user telnetuser class manage
password hash $h$6$6vw9dVPufcQkFqxE$ayAYf9WCLzUdp13WPqYSZ6Rys4cPBSX5U+VRYIz4FjY
V+IPtRjW8raiZAz1WqJpfbhtg+lDacQ6zjTsL+yqmJw==
service-type telnet
authorization-attribute user-role role1
#
如图8所示,某企业内部为隔离部门A和部门B之间流量,将不同VLAN划分给各部门使用。为了加强各部门网络管理员登录的安全性,采用RADIUS服务器对登录设备的Telnet用户进行认证、授权和计费。部门A和部门B的网络管理员通过Telnet登录设备时,分别使用RADIUS服务器上配置的用户名admin-departA和admin-departB以及对应的密码进行认证。
部门A网络管理员admin-departA有如下权限:
· 具有流量控制策略相关功能的配置权限。
· 禁止操作所有的接口和VPN资源。
· 只允许操作VLAN 100~VLAN 199。
部门B网络管理员admin-departB有如下权限:
· 具有流量控制策略相关功能的配置权限。
· 禁止操作所有的接口和VPN资源。
· 只允许操作VLAN 200~VLAN 299。
· 创建用户角色departA-resource,通过配置用户角色规则,使其具有QoS和ACL特性中所有命令的配置权限;通过配置资源控制策略,使其只具有VLAN 100~VLAN 199的操作权限,无法操作所有的接口和VPN资源。
· 创建用户角色departB-resource,通过配置用户角色规则,使其具有QoS和ACL特性中所有命令的配置权限;通过配置资源控制策略,使其只具有VLAN 200~VLAN 299的操作权限,无法操作所有的接口和VPN资源。
· 在RADIUS服务器上配置对部门A网络管理员授权用户角色departA-resource;对部门B网络管理员授权用户角色departB-resouce。
表6 适用产品及版本
产品 |
软件版本 |
S12500G-AF |
Release 8053P05及以上版本 |
S12500CR |
Release 8053P05及以上版本 |
S10500X-G |
Release 7753P05及以上版本 |
S7500X-G |
Release 7753P05及以上版本 |
S7000X |
Release 7753P05及以上版本 |
由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方法相同。
(1) 创建VLAN 2并将Core Switch连接Telnet user的端口划分到VLAN 2中。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] quit
[Sysname] interface Ten-GigabitEthernet3/0/24
[Sysname-Ten-GigabitEthernet3/0/24] port access vlan 2
[Sysname-Ten-GigabitEthernet3/0/24] quit
(2) 创建VLAN接口2并配置IP地址。
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] ip address 192.168.1.50 24
(3) 创建VLAN 3并将Core Switch连接AAA server的端口划分到VLAN 3中。
<Sysname> system-view
[Sysname] vlan 3
[Sysname-vlan3] quit
[Sysname] interface Ten-GigabitEthernet3/0/23
[Sysname-Ten-GigabitEthernet3/0/23] port access vlan 3
[Sysname-Ten-GigabitEthernet3/0/23] quit
(4) 创建VLAN接口3并配置IP地址。
[Sysname] interface Vlan-interface 3
[Sysname-Vlan-interface3] ip address 20.1.1.2 24
(5) 在设备上开启Telnet服务器功能,并配置RADIUS方案和ISP域
# 开启设备的Telnet服务器功能。
[Sysname] telnet server enable
# 在编号为0~63的VTY用户线下,配置Telnet用户登录采用AAA认证方式。
[Sysname] line vty 0 63
[Sysname-line-vty0-63] authentication-mode scheme
[Sysname-line-vty0-63] quit
# 创建RADIUS方案rad。
[Sysname] radius scheme rad
# 配置主认证/授权服务器的IP地址为10.1.1.1,主计费服务器的IP地址为10.1.1.1。
[Sysname-radius-rad] primary authentication 10.1.1.1
[Sysname-radius-rad] primary accounting 10.1.1.1
# 配置与认证/授权服务器、主计费服务器交互报文时的共享密钥为明文aabbcc。
[Sysname-radius-rad] key authentication simple aabbcc
[Sysname-radius-rad] key accounting simple aabbcc
[Sysname-radius-rad] quit
# 创建ISP域bbb,为login用户配置的AAA认证方法为RADIUS认证、RADIUS授权、RADIUS计费。
[Sysname] domain bbb
[Sysname-isp-bbb] authentication login radius-scheme rad
[Sysname-isp-bbb] authorization login radius-scheme rad
[Sysname-isp-bbb] accounting login radius-scheme rad
[Sysname-isp-bbb] quit
(6) 在设备上配置用户角色departA-resource
# 创建用户角色departA-resource,配置用户角色规则,允许用户执行特性QoS和ACL中的所有命令。
[Sysname] role name departA-resource
[Sysname-role-departA-resource] rule 1 permit read write execute feature qos
[Sysname-role-departA-resource] rule 2 permit read write execute feature acl
# 配置VLAN资源控制策略,只具有VLAN 100~VLAN 199的操作权限。
[Sysname-role-departA-resource] vlan policy deny
[Sysname-role-departA-resource-vlanpolicy] permit vlan 100 to 199
[Sysname-role-departA-resource-vlanpolicy] quit
# 配置接口和VPN资源访问策略,禁止访问所有接口和VPN资源。
[Sysname-role-departA-resource] interface policy deny
[Sysname-role-departA-resource-ifpolicy] quit
[Sysname-role-departA-resource] vpn policy deny
[Sysname-role-departA-resource-vpnpolicy] quit
[Sysname-role-departA-resource] quit
(7) 在设备上配置用户角色departB-resource
# 创建用户角色departB-resource,配置用户角色规则,允许用户执行特性QoS和ACL中的所有命令。
[Sysname] role name departB-resource
[Sysname-role-departB-resource] rule 1 permit read write execute feature qos
[Sysname-role-departB-resource] rule 2 permit read write execute feature acl
# 配置VLAN资源控制策略,只具有VLAN 200~VLAN 299的操作权限。
[Sysname-role-departB-resource] vlan policy deny
[Sysname-role-departB-resource-vlanpolicy] permit vlan 200 to 299
[Sysname-role-departB-resource-vlanpolicy] quit
# 配置接口和VPN资源访问策略,禁止访问所有接口和VPN资源。
[Sysname-role-departB-resource] interface policy deny
[Sysname-role-departB-resource-ifpolicy] quit
[Sysname-role-departB-resource] vpn policy deny
[Sysname-role-departB-resource-vpnpolicy] quit
[Sysname-role-departB-resource] quit
下面以iMC为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),说明RADIUS服务器的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。
· 设置认证及计费的端口号分别为“1812”和“1813”;
· 设置与AC交互报文时使用的认证、计费共享密钥和确认共享密钥为“aabbcc”;
· 选择业务类型为“设备管理业务”;
· 选择接入设备类型;
· 选择或手工增加接入设备,添加IP地址为20.1.1.2的接入设备;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
# 增加设备管理用户。
选择“用户”页签,单击导航树中的[接入用户管理/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。
· 创建用户名,这里输入“admin-departA@bbb”,并配置密码和确认密码;
· 选择服务类型为“Telnet”;
· 添加用户角色名“departA-resource”;
· 添加所管理设备的IP地址,IP地址范围为“20.1.1.0~20.1.1.10”;
· 单击<确定>按钮完成操作。
图9 增加设备管理用户
# 继续在该页面中单击<增加>按钮,进入增加设备管理用户页面。
· 创建用户名,这里输入“admin-departB@bbb”,并配置密码和确认密码;
· 选择服务类型为“Telnet”;
· 添加用户角色名“departB-resource”;
· 添加所管理设备的IP地址,IP地址范围为“20.1.1.0~20.1.1.10”;
· 单击<确定>按钮完成操作。
图10 增加设备管理用户
(1) 查看用户角色信息
通过display role命令查看用户角色departA-resource和departB-resource的信息。
# 显示用户角色departA-resource的信息。
<Sysname> display role name departA-resource
Role: departA-resource
Description:
VLAN policy: deny
Permitted VLANs: 100 to 199
Interface policy: deny
VPN instance policy: deny
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature qos
2 permit RWX feature acl
R:Read W:Write X:Execute
# 显示用户角色departB-resource的信息。
<Sysname> display role name departB-resource
Role: departB-resource
Description:
VLAN policy: deny
Permitted VLANs: 200 to 299
Interface policy: deny
VPN instance policy: deny
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
1 permit RWX feature qos
2 permit RWX feature acl
R:Read W:Write X:Execute
(2) 用户登录设备
以部门A网络管理员登录设备为例进行验证。
# 部门A网络管理员向设备发起Telnet连接,在Telnet客户端按照提示输入用户名admin-departA@bbb及正确的密码后,成功登录设备。
C:\Documents and Settings\user> telnet 192.168.1.50
login: admin-departA@bbb
Password:
******************************************************************************
* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Sysname>
(3) 验证用户权限
部门A网络管理员admin-departA@bbb成功登录设备后,可通过如下步骤验证用户的权限:
¡ 可执行特性QoS和ACL中所有的命令。(以创建高级ACL、流分类、流行为和QoS策略,并关联流分类和流行为为例)
# 创建高级ACL,编号为3000。
<Sysname> system-view
[Sysname] acl number 3000
# 配置ACL的匹配规则为匹配所有FTP数据流量。
[Sysname-acl-ipv4-adv-3000] rule permit tcp destination-port eq ftp-data
[Sysname-acl-ipv4-adv-3000] quit
#创建流分类1,匹配规则为匹配ACL 3000。
[Sysname] traffic classifier 1
[Sysname-classifier-1] if-match acl 3000
[Sysname-classifier-1] quit
#创建流行为1,流行为为流量监管,限速值为2000kbps。
[Sysname] traffic behavior 1
[Sysname-behavior-1] car cir 2000
[Sysname-behavior-1] quit
#创建QoS策略1,将流分类1和流行为1进行关联。
[Sysname] qos policy 1
[Sysname-qospolicy-1] classifier 1 behavior 1
[Sysname-qospolicy-1] quit
¡ 可操作VLAN 100~VLAN 199。(以将QoS策略1应用到VLAN 100~VLAN 107的入方向为例)
# 将QoS策略1应用到VLAN 100~VLAN 107的入方向,即对所有主机的上行流量进行限速。
[Sysname] qos vlan-policy 1 vlan 100 to 107 inbound
¡ 不能操作其它VLAN。(以将QoS策略1应用到VLAN 200~VLAN 207的入方向为例)
# 将QoS策略1应用到VLAN 200~VLAN 207的入方向,即对所有主机的上行流量进行限速。
[Sysname] qos vlan-policy 1 vlan 200 to 207 inbound
Permission denied.
通过显示信息可以确认配置生效。
部门B网络管理员admin-departB@bbb成功登录设备后,可通过如下步骤验证用户的权限:
¡ 可执行特性QoS和ACL中所有的命令。(以创建高级ACL、流分类、流行为和QoS策略,并关联流分类和流行为为例)
# 创建高级ACL,编号为3001。
[Sysname] acl number 3001
# 配置ACL的匹配规则为匹配所有FTP数据流量。
[Sysname-acl-ipv4-adv-3001] rule permit tcp destination-port eq ftp-data
[Sysname-acl-ipv4-adv-3001] quit
# 创建流分类2,匹配规则为匹配ACL 3001。
[Sysname] traffic classifier 2
[Sysname-classifier-2] if-match acl 3001
[Sysname-classifier-2] quit
# 创建流行为2,流行为为流量监管,限速值为2000kbps。
[Sysname] traffic behavior 2
[Sysname-behavior-2] car cir 2000
[Sysname-behavior-2] quit
# 创建QoS策略2,将流分类2和流行为2进行关联。
[Sysname] qos policy 2
[Sysname-qospolicy-2] classifier 2 behavior 2
[Sysname-qospolicy-2] quit
¡ 可操作VLAN 200~VLAN 299。(以将QoS策略2应用到VLAN 200~VLAN 207的入方向为例)
[Sysname] qos vlan-policy 2 vlan 200 to 207 inbound
¡ 不能操作其它VLAN。(以将QoS策略2应用到VLAN 100~VLAN 107的入方向为例)
[Sysname] qos vlan-policy 2 vlan 100 to 107 inbound
Permission denied.
通过显示信息可以确认配置生效。
#
telnet server enable
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.1.50 255.255.255.0
#
interface Vlan-interface3
ip address 20.1.1.2 255.255.255.0
#
interface Ten-GigabitEthernet3/0/23
port access vlan 3
#
interface Ten-GigabitEthernet3/0/24
port access vlan 2
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
radius scheme rad
primary authentication 10.1.1.1
primary accounting 10.1.1.1
key authentication cipher $c$3$JzDegvL0G5KZIcJhzscTHLA4WasBVh0UOw==
key accounting cipher $c$3$CdejNYYxvjW0Y+Zydi4rZgBwjYb4h6LKmg==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login radius-scheme rad
#
role name departA-resource
rule 1 permit read write execute feature qos
rule 2 permit read write execute feature acl
vlan policy deny
permit vlan 100 to 199
interface policy deny
vpn-instance policy deny
#
role name departB-resource
rule 1 permit read write execute feature qos
rule 2 permit read write execute feature acl
vlan policy deny
permit vlan 200 to 299
interface policy deny
vpn-instance policy deny
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!