×

local-user admin privilege level 15

hqy hqy 发表于2020-12-14 09:23:33 浏览2544 评论0

抢沙发发表评论

缺省情况下,命令级别分为0~3级:
级别0即参观级,网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包括:Telnet 客户端、SSH)等。该级别命令不允许进行配置文件保存的操作。

级别1即监控级,用于系统维护,包括display命令。该级别命令不允许进行配置文件保存的操作。

级别2即配置级,可以使用业务配置命令,包括路由、各个网络层次的命令,向用户提供直接网络服务。

级别3即管理级,用于系统基本运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP、配置文件切换命令、备板控制命令、用户管理命令、命令级别设置命令、系统内部参数设置命令;用于业务故障诊断的debugging命令。

如果用户想要实现权限的精细管理,则可以将命令级别扩展到0~15级。
缺省情况下,可以将所有级别为2的命令提升到10级,级别为3的命令提升到15级。
2~9级和11~14级这些命令级别中没有命令行
用户可以单独调整命令行到这些级别中,以实现权限的精细化管理。


有些设备是3最高,比如S2000系列。
后来的S2300系列是15级别最高

3-15级权限默认是相同的




mportant;">以华为S5700-28C-HI交换机为例,配置登录认证学习笔记一:

一)、无需任何密码通过控制端口登录

[switchA]user-interface con 0  [switchA-ui-console0]authentication-mode none
[switchA-ui-console0]disp this#
user-interface con 0 set authentication password simple 123456

此时,尽管交换机设置了console登录密码为123456,但由于console口已被设置为不进行安全的认证的方式,故通过console端口登录交换机时并不需要输入密码。这也是华为S5700出厂时的默认方式。

(二)、使用密码通过控制端口登录

如果我们此时输入以下命令,把console口登录认证方式设置为密码认证方式的话,那么在通过console端口登录交换机时就需要输入密码,也就是我们设置的密码123456。

[switchA-ui-console0]authentication-mode password 
[switchA-ui-console0]disp this#
user-interface con 0
 authentication-mode password set authentication password simple 123456

此时,console口的登录均与交换机中的用户无关,即与aaa中的local-user毫无关系。

(三)、使用aaa用户名和密码从控制端口登录

如果我们想配置以aaa中的用户从console端口登录,则需要:

1、设置con的认证模式为aaa

user-interface con 0
 authentication-mode aaa set authentication password simple 123456

2、创建aaa用户,并保证该用户拥有terminal的服务类型权限(默认情况下,所有的aaa用户都拥有terminal权限的,除非特别排除,因此如果单纯的只是为了让下面的admin用户拥有可以console的权限,service-type的权限是不用特别设置的)。

aaa local-user admin password simple abc@123
 local-user admin service-type telnet terminal ssh

此时从console口登录时需输入用户名:admin 和认证密码:abc@123。因为我们把console的认证模式设置为使用aaa用户的认证方式,故认证过程中的一切要素均来自于aaa用户中的各个属性值,故其认证密码也就与“set authentication password simple 123456中的密码无关了。

当然,在实际生产过程中我们在设置密码时一般都不会设置存储明文密码字符串,而是会选择对密码串进行加密:"set authentication password cipher 123456”,这样的话当我们在display 时看到的就是加密之后的密码串了。

(四)、配置设备可以telnet登录

1、配置管理Ip

interface vlanif 1
  ip address 172.16.1.254 255.255.255.0

2、开启telnet服务

telnet server enable

3、设置vty 0 4认证方式

   a、方式一:设置telnet为password认证方式,即telnet时无登录用户名,只需输入telnet密码123456就可以了

user-interface vty 0 4
 authentication-mode password user privilege level 15      /*设置远程登录后的操作权限级别为最高的15级*/ set authentication password simple 123456
 protocol inbound all         /*华为默认远程只允许ssh登录,把它改为protocol inbound ssh telnet 或 all就行了。*/

   b、方式二:设置telnet为aaa用户认证方式,即telnet时需输入登录用户名和登录密码,即admin和abc@123,下面的倒数第2、3行的内容与aaa用户认证无关。

#aaa
 local-user admin password simple abc@123
 local-user admin service-type telnet terminal ssh  /*设置admin用户拥有telnet、terminal和ssh的权限*/ local-user admin privilege level 15 /*如果此处不设置,默认level=3,其实也是系统管理权限*/quit#user-interface vty 0 4
 authentication-mode aaa user privilege level 15      /*设置远程登录后的操作权限级别为最高的15级,此权限对以aaa身份登录的用户无效*/ set authentication password simple 123456
 protocol inbound all         /*华为默认远程只允许ssh登录,把它改为protocol inbound ssh telnet 或 all就行了。*/


打赏

本文链接:https://www.kinber.cn/post/1561.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客