分类: 系统运维
2011-10-20 09:51:17
为了限制不同用户对设备的访问权限,防止非法更改配置,Comware 5系统也对用户进行了分级管理。用户的级别与命令级别一一对应,不同级别的用户登录后,只能使用等于或低于自己级别的命令。如用户属于1级别,则所使用的命令也仅限于1级别命令级别中的命令。反之亦然。
在H3C Comware 5系统中,命令级别由低到高共分为:访问级、监控级、系统级和管理级四个级别,级别号分别为0、1、2、3,如表2-8所示。
2-8 Comware 5中的命令级别
|
命令级别 |
说明 |
|
访问级(0) |
该命令级别是包括用于网络诊断等功能的命令,以及从本设备访问外部设备的命令。该级别的命令配置后不允许保存,设备重启后,该级别命令会恢复到默认状态。默认情况下,访问级的命令包括:ping、tracert、telnet、ssh2等 |
|
监控级(1) |
该级别的使用是包括用于系统维护、业务故障诊断等功能的命令。该级别命令配置后不允许保存,设备重启后,该级别命令会恢复到默认状态。默认情况下,监控级的命令包括:debugging、terminal、refresh、reset、send等 |
|
系统级(2) |
该级别的命令包括业务配置命令,如路由、各个网络层次的命令。这些命令用于向用户提供直接网络服务。默认情况下,系统级的命令包括所有配置命令(管理级的命令除外) |
|
管理级(3) |
该级别包括系统的基本运行、系统支撑模块功能的命令,这些命令对业务提供支撑作用。默认情况下,管理级的命令包括:文件系统命令、FTP命令、TFTP命令、XModem命令下载、用户管理命令、级别设置命令、系统内部参数设置命令(非协议规定、非RFC规定)等 |
H3C Comware 5系统中的用户级别可通过AAA认证参数或者用户界面来配置。因为通过AAA认证参数配置用户级别的配置比较复杂,且适用于采用不常用的AAA认证登录方式,故在此不作介绍,仅介绍最常见的在用户界面中配置用户级别的方法。
如果用户登录时使用的用户界面的认证方式为scheme,而且是SSH的publickey(公钥)认证方式时(该方式只需要输入用户名,不需要输入密码),则用户级别等于用户界面的级别;如果用户登录时使用的用户界面的认证方式为none或者password(即不需要输入用户名),用户级别也等于用户界面的级别。当采用公钥SSH认证方式时,用户级别的配置步骤如表2-9所示;当采用none或者password认证方式时,用户级别的配置步骤如表2-10所示。
表2-9 公钥SSH认证方式下的用户级别配置步骤
|
步骤 |
命令 |
说明 | |
|
Step 1 |
采用PuTTYGen.exe SSH客户端程序配置SSH用户的认证方式为publickey方式。如果用户使用SSH方式登录,并且认证时只要输入用户名,不用输入密码,则该步骤必选。配置该步骤后,相应的用户界面的认证方式必须设置为scheme | ||
|
Step 2 |
system-view 例如: |
进入系统视图 | |
|
Step 3 |
user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] } 例如: [Sysname] user-interface vty 0 4 |
进入用户界面视图 | |
|
Step 4 |
authentication-mode scheme 例如: [Sysname-ui-vty0-4] authentication-mode none |
(可选)设置用户使用当前用户界面登录设备时的认证方式。默认情况下,VTY、AUX用户界面认证方式为password,Console、TTY用户界面不需要认证 | |
|
Step 5 |
user privilege level level 例如: [Sysname-ui-vty0-4] user privilege level 3 |
(可选)配置从当前用户界面登录系统的用户的级别。参数level用来设定命令级别,取值范围为0~3。默认情况下,通过Console口登录系统的用户级别是3,通过其它用户界面登录系统的用户级别是0 | |
以上配置步骤中的“user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] }”系统视图命令中的可选参数说明如下:
first-num1:第一个用户界面的编号(绝对编号方式),不同型号的设备支持的取值范围不同,请以设备的实际情况为准,一般从0开始。
last-num1:最后一个用户界面的编号(绝对编号方式),不同型号的设备支持的取值范围不同,请以设备的实际情况为准,一般从0开始,但不能小于first-num1。
first-num2:第一个VTY用户界面的编号(相对编号方式),不同型号的设备支持的取值范围不同,请以设备的实际情况为准。
last-num2:最后一个VTY用户界面的编号(相对编号方式),不同型号的设备支持的取值范围不同,请以设备的实际情况为准,但不能小于first-num2。
下面的示例是设置所有的Telnet用户登录设备时不需要身份认证,用户级别为1。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode none
[Sysname-ui-vty0-4] user privilege level 1
默认情况下,用户使用Telnet方式登录设备,通过口令验证后,只能使用以下命令(默认使用级别0中的命令):
User view commands:
display Display current system information
ping Ping function
quit Exit from current command view
rsh Establish one RSH connection
ssh2 Establish a secure shell client connection
super Set the current user priority level
telnet Establish one TELNET connection
tftp Open TFTP connection
tracert Trace route function
通过用户界面设置级别为1后,用户不需要认证就可以Telnet登录设备并使用以下命令:
User view commands:
debugging Enable system debugging functions
dialer Dialer disconnect
display Display current system information
ping Ping function
quit Exit from current command view
refresh Do soft reset
reset Reset operation
rsh Establish one RSH connection
screen-length Specify the lines displayed on one screen
send Send information to other user terminal interface
ssh2 Establish a secure shell client connection
super Set the current user priority level
telnet Establish one TELNET connection
terminal Set the terminal line characteristics
tftp Open TFTP connection
tracert Trace route function
undo Cancel current setting
表2-10 none或者password认证方式下的用户级别配置步骤
|
步骤 |
命令 |
说明 |
|
Step 1 |
system-view 例如: |
进入系统视图 |
|
Step 2 |
user-interface { first-num1 [ last-num1 ] | { aux | console | tty | vty } first-num2 [ last-num2 ] } 例如: [Sysname] user-interface vty 0 4 |
进入用户界面视图 |
|
Step 3 |
authentication-mode { none | password } 例如: [Sysname-ui-vty0-4] authentication-mode password |
(可选)设置用户使用当前用户界面登录设备时的认证方式。选择none时设置不进行认证;选择password时指定进行本地密码认证方式。默认情况下,VTY、AUX用户界面认证方式为password,Console、TTY用户界面不需要认证 |
|
Step 4 |
set authentication password cipher password 例如: [Sysname-ui-vty0-4] set authentication password cipher 123 |
(可选)设置本地认证的口令,以密文密码方式配置。仅在选择密码验证方式时选用 |
|
Step 5 |
user privilege level level 例如: [Sysname-ui-vty0-4] user privilege level 2 |
(可选)配置从当前用户界面登录系统的用户的级别。默认情况下,通过Console口登录系统的用户级别是3,通过其它用户界面登录系统的用户级别是0 |
下面的示例是设置所有的Telnet用户登录设备时,需要验证口令,用户级别为2。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode password
[Sysname-ui-vty0-4] set authentication password cipher 123
[Sysname-ui-vty0-4] user privilege level 2
默认情况下,用户使用Telnet方式登录设备,通过口令验证后,只能使用级别为0的命令。通过用户界面设置级别2后,用户使用Telnet方式登录设备,输入密码123后,就可以使用级别为0、1、2的命令。
本文摘自《路由器配置与管理完全手册(H3C篇)试读样章》第二章
