FAQ-如何成功清理SDH\WDM无效的网元用户

发布时间:  2014-06-21 浏览次数:  330 下载次数:  0
问题描述
某日,用户通过T2000清理设备上多余、无效的OptiX 2500+网元用户时,发现无法删除。在删除bjwgzx用户时,网管提示:网元用户级别不够,错误码 1090605073,如下截图:

告警信息
不涉及
处理过程
所以,解铃还需要系铃人,必须使用命令行szhw用户登录设备,进行删除:

1、用命令行查询兴安站网元用户,发现bjwgzx用户级别为63,和root用户为同级别,而szhw用户级别则为253



2、用命令行删除bjwgzx,再查询网元用户列表,发现该用户已被告成功删除:

根因
1、工程调测期间,督导可能自己会通过Navigator命令,以szhw用户登录设备创建网元用户供自己使用,但使用后未能及时清理删除;
2、转维护后,客户使用T2000或U2000网管删除时,因用户root权限级别不够,所以无法删除其它网元用户;

这里要重点说明,网管使用的root用户权限级别为什么低于命令行的szhw用户,要从传统Metro-SDH和NG-SDH两个平台分别说明:

1、早期的Metro类SDH设备,创建网元用户命令行格式如下:

:um-add-user:"user",4,"password",63;

可以看到,命令字段除了用户名和密码外,还有两个数字项:
1)第二字段的数字为用户的ID,可以手动指定,如果为0是由主机自动分配,可以注意到平时我们用szhw登录老设备时,用户名用1也可以,就是这个原因;
2)第四字段数字是用户级别,系统可创建的最高用户级别为63,即这个级别已经与root用户一样了,在网管上root无资格删除级别为63有用户;


   可见,在Metro类SDH设备中,szhw的用户(调试级别)高于所有用户,包括root用户(管理级别);

2、NG-SDH设备的用户,创建网元用户命令行格式如下:

:sm-add-user:"user1","my_pass","every",enable;

可以看到,相比于传统SDH设备,命令字段中已经取消了用户ID项和级别项,增加了:
1)第三项“权限用户组名”,组名最长16个字符,只支持系统缺省用户组,即5个级别的组:every/oper/maint/admin/super
2)第四项,修改密码提示,是否在用户登录时提示用户修改初始密码:enable-是,disable-否



  可见,在NG-SDH中,szhw用户为super级别,root用户为admin级别,root用户也是低于szhw用户。
建议与总结
在OTN和NG-SDH中,均增加了网元用户安全方面的提示,建议:
1、工程师要充分认识到网元用户的重要性,开局结束、转维前必须删除自行创建的网元用户,不留其它用户登录入口;
2、向客户普及网元用户知识,如非法登录告警SEC_ALM、英文提示“这是一个私有的系统,........”、首次使用修改密码等,引导用户正确使用设备的安全功能,保证系统正常使用;

END