华三交换机的用户权限设置
权限 说明
security-audit 安全日志管理员(系统中的最后一个安全日志管理员角色的本地用户不可被删除,重新创建一个登陆账号解决问题)
network-admin 具有最高权限,可操作系统所有功能和资源(除安全日志文件管理相关命令外)
network-operator 可执行系统所有功能和资源的相关display命令(除安全日志等查看命令外)
level-0 可执行命令ping、tracert、ssh2、telnet和super,且管理员可以为其配置权限
level-1 具有level-0用户角色的权限,并且可执行系统所有功能和资源的相关display命令(除display history-command all之外),以及管理员可以为其配置权限
level-2~8 无缺省权限,需要管理员为其配置权限
level-10~14 无缺省权限,需要管理员为其配置权限
level-9 可操作系统中绝大多数的功能和所有的资源,且管理员可以为其配置权限,但不能操作display history-command all命令、RBAC的命令(Debug命令除外)、文件管理以及本地用户特性。对于本地用户,若用户登录系统并被授予该角色,可以修改自己的密码
level-15 具有与network-admin角色相同的权限

新建账号,并附加权限
命令配置:

[SW]local-user backup     //新建账号  backup
[SW-luser-manage-backup]password simple ******    //设置账号密码
[SW-luser-manage-backup]service-type ssh          //配置账号登录方式为 ssh
[SW-luser-manage-backup]authorization-attribute user-role level-1  //配置账号角色为  level-1

配置角色 level-1 可以使用以下备份命令

 backup stratup-config to <dest-ip> [new-filename.cfg]
 tftp <dest-ip> put startup.cfg [new-filename.cfg]


[SW]role name level-1  
[SW-role-level-1]rule 10 permit command  backup *
[SW-role-level-1]rule 11 permit command  tftp *

交换机配置展示
1、只读账号

local-user read class manage
 password hash $h$6$dNVMx2JRjsYd4J6G$D0Gw8ucYbuZHErsDcvTbgFBugiSsF2nSJzlOiDxgzGVyxSXjQLshM8eANHRxagQ2veidlt0+nNxwPQseXHn+OQ==
 service-type ssh
 authorization-attribute user-role level-1
 authorization-attribute user-role network-operator

2、配置备份账号

local-user backup class manage
 password hash $h$6$zdaG/8biVPXLDc1g$QtPni4EoI0mAbOuUCnyTJ8D2LRIefF9TYcmz5oc7pQDI8JrK/SKg04H41W5Zt7+EdOUaxKDnJmQ1Swk/b6rnWQ==
 service-type ssh
 authorization-attribute user-role level-1    //为账号指定角色level-1
 authorization-attribute user-role network-operator

#为level-1配置可以执行的命令
role name level-1
 description Predefined level-1 role
 rule 10 permit command backup startup-configuration to *
 rule 11 permit command tftp * put startup.cfg *

标签: 交换机, 华三交换机, H3C, 华三

添加新评论