欢迎user
52-三权分立功能典型配置举例
本章节下载 (387.41 KB)
目录
本文档介绍设备的三权分立功能配置举例,包括各管理员权限划分及权限分配的管理。
设备三权分立共有四种管理员,分别为原内嵌管理员admin,三权分立后account用户、authority用户、audit用户,可以分别有以下权限:
· admin账户:内嵌管理员用户,三权模式下由authority用户对其进行功能授权,以实现对功能点权限为只读或可读写,进而对功能进行操作控制。
· account用户:account负责账号创建,可新建自定义系统管理员;可进行操作日志查看。
· authority用户:可以系统管理员功能模块授权,模块细分读写或只读模式。
· audit用户:审核管理员可对用户权限监控及操作日志查看。
设备的三权分立主要为一些资质审核公司要求管理员互相制约互相监控的功能。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解三权管理功能特性。
· 设备的切换为三权分立后无法切回普通模式。
· 设备的切换三权分立后由于admin账号无功能授权登录后无任何功能执行权限,需由authority账号进行权限分配。
如图1所示,设备的以透明模式串接在某公司网络的核心交换机和出口路由器之间,具体应用需求如下:
· 设备的开启三权模式,设备的使用的IP地址为192.168.1.1/24。
· 需要authority用户给admin用户分配权限,分别为分配:网络配置、网络优化、对象管理、上网行为管理的执行权限。
· 设备的account用户新建自定义用户为test,只分配监控统计、日志查询、上网行为管理的只读权限。
· 设备的管理模式为“三权模式”。
· 使用account用户新建管理员test。
· 使用authority用户对admin用户进行读写授权,分别为分配:网络配置、网络优化、对象管理、上网行为管理的执行权限。
· 使用authority用户对test用户进行分配监控统计、日志查询、上网行为管理的只读权限。
本举例是在设备的R6612版本验证的。
· 账户新建只能由account用户新建。
· 切换三权模式需慎重,不可回切。
· 所有用户初始密码均为admin。
(1) 模式切换为三权模式
如图2所示,进入“系统管理>系统设定>管理设定> 模式切换”,选择<三权模式>并确定。
(2) 使用account用户新建自定义用户
如图3所示,使用account用户登录,点击<新建>,配置用户名为“test”,密码为自定义符合复杂度密码,其它配置保持默认,并点击<提交>。
如图4所示,创建成功的用户配置如下。
(3) 使用authority用户对admin用户进行权限分配
如图5所示,使用authority用户登录,点击admin账号后图标,分配:网络配置、策略配置的执行权限,将全选只读勾掉,在此页面上点击<提交>。
如图6所示,使用authority用户登录,点击test账号后图标,分配:主页、数据中心,在此页面上点击<提交>。
(1) 验证admin用户权限
如图7所示,使用admin用户对网络配置等授权功能模块可读可写可执行。
图7 设备admin用户权限验证
(2) 如图8所示,使用自定义test用户对监控等授权只读模块只有只读权限。
图8 设备自定义test用户权限验证
(3) 如图9所示,audit用户登录只有审核员权限。
图9 设备的audit审核员登录
admin-switch three-power-mode!
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!