• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6614)-6W102

目录

52-三权分立功能典型配置举例--wyy修改

本章节下载 52-三权分立功能典型配置举例--wyy修改  (808.63 KB)

52-三权分立功能典型配置举例--wyy修改


1  简介

本文档介绍设备的三权分立功能配置举例,包括各管理员权限划分及权限分配的管理。

设备的三权分立主要为一些资质审核公司要求管理员互相制约互相监控的功能。启用该功能后,系统会删除所有切换前的管理员及角色,并自动生成三个账号:account、authority和audit,默认密码均为admin。三权模式下的账号权限如下:

·     account用户:创建及删除系统管理员账号,查看account账号的操作日志,修改自身的用户名和密码。

·     authority用户:对新建的管理员账号进行角色授权,查看authority账号的操作日志,修改新建管理员账号或自身账号的用户名和密码。

·     audit用户:审核管理员可对用户权限监控及操作日志查看。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解三权管理功能特性。

3  使用限制

·     设备的切换为三权分立后,当前账户将会退出Web管理平台,且无法在Web管理平台切换至普通模式,需通过设备CLI界面切换至普通模式,请谨慎操作。

·     普通模式切换到三权模式,或三权模式切换到普通模式,系统会删除所有切换前的管理员及角色,切换后创建内置角色和管理员账号,所有密码都会恢复到设备初始密码;切换模式前创建的控制策略和审计策略在切换模式后创建者都会置空。

4  配置举例

4.1  组网需求

图1所示,设备的以透明模式串接在某公司网络的核心交换机和出口路由器之间,具体应用需求如下:

·     设备开启三权模式。

·     使用account用户新建两个管理员账号test1、test2。

·     使用authority用户创建两个角色,并为角色分配不同的权限。

·     使用authority用户分别为管理员账号分配不同的角色权限,如下:

¡     test1:分配网络配置、策略配置的执行权限。

¡     test2:只分配主页、数据中心的只读权限。

图1 三权分立功能配置组网图

 

4.2  配置思路

·     设备的管理模式为“三权模式”。

·     使用account用户新建管理员test1、test2。

·     使用authority用户创建角色role1、role2,为角色role1分配:网络配置、策略配置的执行权限;为角色role2分配:主页、数据中心的只读权限。

·     使用authority用户配置管理员test1的角色为role1;管理员test2的角色为role2。

4.3  使用版本

本举例是在设备的R6614版本验证的。

4.4  配置注意事项

·     账户新建只能由account用户新建。

·     使用account用户新建账号的角色不可编辑,系统默认分配了“default”的空权限。

·     切换三权模式需慎重,不可回切。

·     首次登录时,系统强制要求修改密码。

4.5  配置步骤

4.5.1  配置设备

1. 配置模式切换

(1)     模式切换为三权模式

图2所示,进入“系统管理>系统设定>管理设定> 模式切换”,选择<三权模式>并确定。

图2 切换三权模式

 

(2)     使用account用户新建管理员

图3图4所示,使用account用户登录,进入“系统管理>系统设定>管理员”页面,点击<新建>,分别创建管理员test1和test2,密码为自定义符合复杂度密码,其它配置保持默认,点击<提交>。

图3 新建管理员test1

 

 

图4 新建管理员test2

 

 

(3)     使用authority创建角色

 图5所示,使用authority用户登录,进入“系统管理>系统设定>管理员>角色管理”页面,点击<新建>创建角色,名称为“role1”,在权限管理菜单里勾选“网络配置”和“策略配置”,权限列表的只读选项使用默认“不勾选”,点击<提交>。

图5 新建角色role1

 

 

图6所示,使用authority用户登录,进入“系统管理>系统设定>管理员>角色管理”页面,点击<新建>创建角色,名称为“role2”,在权限管理菜单里勾选“主页”和“数据中心”,在权限列表中全部勾选“只读”,点击<提交>。

图6 新建角色role2

 

 

(4)     使用authority为管理员分配角色

 如图7所示,使用authority用户登录,进入“系统管理>系统设定>管理员”页面,点击管理员“test1”后面的编辑按钮,编辑管理员信息,点击角色的下拉列表,选择“role1”,点击<提交>。

图7 为管理员test1分配角色

 

 

图8所示,使用authority用户登录,进入“系统管理>系统设定>管理员”页面,点击管理员“test2”后面的编辑按钮,编辑管理员信息,点击角色的下拉列表,选择“role2”,点击<提交>。

图8 为管理员test2分配角色

 

 

4.6  验证配置

(1)     验证test1用户权限

图9所示,使用test1用户登录后,对“网络配置”和“策略配置”模块可读可写可执行。

图9 test1用户权限验证

 

(2)     验证test2用户权限

图10所示,使用test2用户对“主页”和“数据中心”模块只有只读权限。

图10 设备自定义test用户权限验证

 

(3)     验证audit用户权限

audit用户登录只有审核员权限。

进入“系统管理>系统设定>管理员>角色管理”页面,可以查看所有系统管理员的权限状态,也可修改新建管理员的角色权限,如图11所示;在“数据中心>日志中心>操作日志”页面查看所有账号的操作日志,如图12所示。

图11 audit审核员登录查看角色权限

图12 audit审核员登录查看操作日志

 

4.7  配置文件

admin-switch three-power-mode!

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们