分类: 系统运维
2011-10-20 09:51:54
切换用户级别是指在不退出当前登录、不断开当前连接的情况下临时修改用户级别。级别修改后用户不需要重新登录就可以继续配置设备,只是可以执行的命令会不一样。比如用户的级别为3,可以对系统参数进行设置,如果将用户的级别切换到0,则只能执行简单的ping、tracert和很少一部分display命令等。
【经验之谈】切换后的级别是临时的,只对当前登录生效,用户重新登录后,又会恢复到原有级别。为了防止对设备的误操作,通常情况下建议管理员使用较低级别的用户登录设备、查看设备运行参数,当需要对设备进行维护时,再临时切换到较高的级别;当管理员需要暂时离开设备或者将设备暂时交给其它人代为管理时,为了安全起见,可以临时切换到较低的级别,来限制其它人员的操作。
在进行用户级别切换时,可以直接从高级别切换到低级别或相同级别,不需要进行身份验证;但从低级别切换到高级别时,为了保证操作的安全性,需要进行身份认证。下面回顾一下H3C Comware所支持的四种认证方式,如表2-11所示。具体的配置方法参见《Cisco/H3C交换机配置与管理完全手册》一书第15章相关内容。
表2-11 H3C Comware所支持的四种认证方式
|
认证方式 |
说明 |
|
local |
本地密码认证。在这种认证方式下,设备验证用户输入的级别切换密码。使用该方式时,需要在设备上使用super password命令设置级别切换密码 |
|
scheme |
通过HWTACACS/RADIUS进行远程AAA认证。在这种认证方式下,设备将级别切换用户名和密码发送给HWTACACS/RADIUS服务器进行远程验证。使用该方式时,需要进行以下相关配置:
|
|
local scheme |
本地密码认证和远程AAA认证相结合。在这种认证方式下,先本地密码认证,若设备上没有设置本地级别切换密码,使用Console用户界面登录的用户会直接进行级别切换,其它用户(使用AUX、TTY或VTY用户界面登录的用户)则转为远程AAA认证 |
|
scheme local |
远程AAA认证和本地密码认证相结合。在这种认证方式下,先远程AAA认证,远程HWTACACS/RADIUS服务器无响应或设备上的AAA配置无效时,转为本地密码认证 |
切换用户级别时所用认证方式的配置步骤如表2-12所示。
表2-12 用户级别切换时的认证方式配置步骤
|
步骤 |
命令 |
说明 |
|
|
Step 1 |
system-view 例如: |
进入系统视图 |
|
|
Step 2 |
user-interface { first-num1 [ last-num1 ] | { aux | console | tty | vty } first-num2 [ last-num2 ] } 例如: [Sysname] user-interface vty 0 |
进入用户界面视图 | |
|
Step 3 |
super authentication-mode { local | scheme } 例如: [Sysname-ui-vty0] super authentication-mode scheme super-password |
(可选)配置用户级别切换时的认证方式。默认情况下,采用local认证方式 |
|
|
Step 4 |
super password [ level user-level ] { simple | cipher } password 例如: [Sysname] super password level 3 simple 0123456789 |
配置用户级别切换的密码.如果使用本地认证(即认证方式配置时选择了local参数),则该步骤必选。默认情况下,没有设置切换用户级别的密码 |
|
以上配置步骤中的“super authentication-mode { local | scheme }” 用户界面视图命令用来设置切换低级别用户到高级别用户的认证方式。如果选择super-password选项,则指定用户级别切换采用super密码认证方式;如果选择scheme选项,则指定用户级别切换采用HWTACAS认证方式。可用“undo super authentication-mode”命令用来恢复默认情况。默认情况下,切换低级别用户到高级别用户时采用super密码认证方式。
需要说明的是,super密码认证和HWTACAS认证这两种认证方式可以同时存在,互为备份。二者的优先级由“super authentication-mode”命令中super-password和scheme参数的设置顺序来决定。“super authentication-mode super-password scheme”命令用来设置切换低级别用户到高级别用户时,首先采用super密码认证方式进行认证,以HWTACAS认证方式作为备份;“super authentication-mode scheme super-password”命令用来设置切换低级别用户到高级别用户时,首先采用HWTACAS认证方式进行认证,以super密码认证作为备份。在super密码认证和HWTACAS认证这两种认证方式同时存在的情况下,设备首先采用首选认证方式进行认证,如果无法实现此方式的认证,比如设备未设置super密码或是远程HWTACACS认证服务器不可达,则继续采用另外一种备份认证方式进行认证。
下面的示例是配置VTY0用户从当前级别向高级别切换时首选HWTACAS认证,以super密码认证为备份。
System View: return to User View with Ctrl+Z.
[Sysname] user-interface vty 0
[Sysname-ui-vty0] super authentication-mode scheme super-password
以上配置步骤中的“super password [ level user-level ] { simple | cipher } password”系统视图命令用来设置切换低级别用户到高级别用户的口令。需要注意的是,不论配置的是明文口令还是密文口令,验证时必须输入明文形式的口令。命令中的可选项和参数说明如下:
level level:用户的级别,取值范围为1~3。默认值为3,即如果不指定具体的级别,表示设置的是进入级别3的口令。
cipher:在配置文件中以密文方式显示口令。
simple:在配置文件中以明文方式显示口令。
password:口令字符串。如果验证方式是simple,则password必须是明文口令,取值范围为1~16个字符的字符串;如果验证方式是cipher,则用户在设置password时有两种方式:(1)一种是输入小于等于16字符的明文口令,系统会自动转化为24位的密文形式;(2)另一种是直接输入24字符的密文口令,此时用户必须知道其对应的明文形式。
可用“undo super password”命令用来恢复默认情况。默认情况下,没有设置切换低级别用户到高级别用户的口令。
下面的示例是配置从低级别切换到级别3的口令为“0123456789”,显示方式为明文显示。
System View: return to User View with Ctrl+Z.
[Sysname] super password level 3 simple 0123456789
【注意】在使用“super password”命令时,若不指定用户级别,则配置的是切换到3级用户的密码。如果指定simple参数,则配置文件中保存的是明文形式的密码,容易被盗取;如果指定cipher参数,配置文件中保存的是密文形式的密码,更安全。
AAA认证的超时时间为120秒,超时后设备会认为AAA认证无响应。当用户使用Console用户界面(指Console口或作为Console口的AUX口)登录设备进行低级别到高级别的切换时,即便认证方式为local,没有配置对应的用户级别切换密码,也可以成功的实现级别切换。
配置好用户级别切换认证方式后,下面就可以进行用户级别切换了。切换的方法是在用户视图下使用“super [ level ]”命令进行。参数level用来指定要切换到的用户级别,取值范围为0~3,默认值为3。如果不指定level参数,会使用户从当前级别切换到级别3。
以下示例是将用户级别从当前的3级切换到2级。
User privilege level is 2, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
下面是在上一个示例后执行的,将用户级别从2级恢复到3级(假设已设置了切换密码,也就是进行身份认证时所需输入的密码)。
Password:
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
