华为交换机配置用户权限
userprivilege
命令功能
user privilege命令用来配置用户级别。
undo user privilege命令用来恢复用户级别到缺省情况。
缺省情况下,Console口用户界面下用户的级别是15,而其他用户界面用户的级别是0。
命令格式
user privilege level level
undo user privilege level
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| level level | 指定用户级别。**说明:**level取值越大,优先级越高。 | 整数形式,取值范围是0~15。 |
视图
用户界面视图
缺省级别
3:管理级
使用指南
应用场景
为了限制不同用户对设备的访问权限,系统对用户进行了分级管理。用户的级别与命令级别对应,不同级别的用户登录后,只能使用等于或低于自己级别的命令,从而保证了设备的安全性。
命令的级别由低到高分为参观级、监控级、配置级和管理级四种,分别对应级别值0、1、2、3,如表1所示。
参考链接:设置命令级别
| 用户级别 | 命令级别 | 级别名称 | 说明 |
|---|---|---|---|
| 0 | 0 | 参观级 | 网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(Telnet、s)等。 |
| 1 | 0、1 | 监控级 | 用于系统维护,包括display等命令。**说明:**并不是所有display命令都是监控级,比如display current-configuration命令和display saved-configuration命令是3级管理级。 |
| 2 | 0、1、2 | 配置级 | 业务配置命令,如路由配置命令。 |
| 3~15 | 0、1、2、3 | 管理级 | 用于系统基本运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP下载、用户管理命令、命令级别设置命令、用于业务故障诊断的debugging命令等。 |
注意事项
如果用户需要实现权限的精细管理,可以执行命令command-privilege level将命令级别提升。
使用实例
# 在VTY0用户界面下配置用户级别是2。
<HUAWEI> system-view
[HUAWEI] user-interface vty 0
[HUAWEI-ui-vty0] user privilege level 2
# 通过Telnet方式登录设备后,查看用户界面VTY0的详细信息。
<HUAWEI> display user-interface vty 0
Idx Type Tx/Rx Modem Privi ActualPrivi Auth Int
+ 34 VTY 0 - 2 15 N -
+ : Current UI is active.
F : Current UI is active and work in async mode.
Idx : Absolute index of UIs.
Type : Type and relative index of UIs.
Privi: The privilege of UIs.
ActualPrivi: The actual privilege of user-interface.
Auth : The authentication mode of UIs.
A: Authenticate use AAA.
N: Current UI need not authentication.
P: Authenticate use current UI's password.
Int : The physical location of UIs.
| 项目 | 描述 |
|---|---|
| + | 当前用户界面为活动状态。 |
| F | 当前用户界面为活动状态且工作在异步模式下。 |
| Idx | 用户界面的绝对索引。 |
| Type | 用户界面的类型和相对索引。 |
| Privi | 用户界面的优先级。 |
| ActualPrivi | 用户界面实际优先级。 |
| Auth | 用户界面的认证模式。 |
| Int | UIs的物理位置。 |
| A | 使用AAA认证方式。 |
| N | 当前的用户界面不需要认证。 |
| P | 对当前用户界面的用户采用password认证方式认证。 |
command-privilege level
命令功能
command-privilege level命令用来设置指定视图内的命令的级别。
undo command-privilege命令用来恢复命令为缺省级别。
缺省情况下,各个视图下的每条命令都有指定的级别。
命令格式
command-privilege level level view view-name command-key
undo command-privilege [ level level ] view view-name command-key
参数说明
| 参数 | 参数说明 | 取值 |
|---|---|---|
| level level | 指定命令的级别。 | 整数形式,取值范围是0~15。 |
| view view-name | 指定视图名称。可在终端界面上键入“?”获取该命令视图下所有可选择的视图名称。例如:shell:表示用户视图system:表示系统视图vlan:表示VLAN视图 | - |
| command-key | 指定设置的命令,目前不支持联想,需手动完整输入。 | - |
视图
系统视图
缺省级别
3:管理级
使用指南
应用场景
系统将命令进行分级管理,各个视图下的每条命令都有指定的级别。设备管理员可以根据用户需要重新设置命令的级别,以实现低级别用户可以使用部分高级别命令的需求,或者将命令的级别提高,增加设备的安全性。
注意事项
使用此命令行设置指定视图内命令的级别规则:
- 对目标命令行进行降级时,命令行中所有关键字都会降级。
- 对目标命令行进行升级时,只有命令行中的最后一个关键字会升级。
- 对目标命令行设置命令行级别时,则相同视图下的所有以此目标命令行为首的命令行级别都会被改变。
- 对目标命令行设置命令行级别时,和变更级别的关键字索引相同的其他命令中关键字级别也会被改变。
- 此命令有覆盖作用,索引相同的关键字级别如果被多次修改,则最后一次修改的级别生效。
在没有专业人员指导下建议用户不要修改命令的缺省级别,以免造成操作和维护上的不便甚至给设备带来安全隐患。
使用实例
# 设置save命令的级别为5。
<HUAWEI> system-view
[HUAWEI] command-privilege level 5 view shell save
用户权限配置
创建用户
<S6720_Core>sy
Enter system view, return user view with Ctrl+Z.
[S6720_Core]aaa
[S6720_Core-aaa]local-user script password irreversible-cipher 123456
[S6720_Core-aaa]local-user script privilege level 3
[S6720_Core-aaa]local-user script service-type telnet terminal ssh