FAQ-S交换机设置管理员登录权限,以及如何自定义命令的权限等级

发布时间:  2015-02-11 浏览次数:  546 下载次数:  0
问题描述

Q:S交换机设置管理员的登录权限,以及如何自定义命令的权限等级

解决方案

有三种方式可以配置管理员登录设备的权限,优先级从上到下:

  1. 使用local-user privilege level命令配置的本地用户级别。
  2. 使用admin-user privilege level命令在域下配置的管理员用户级别。
  3. 使用user privilege命令在VTY模式下配置的用户级别。

aaa视图下可以对用户的权限等级进行配置

local-user user-name privilege level level
指定本地用户的优先级。不同级别的用户登录后,只能使用等于或低于自己级别的命令

如果未指定前两个该参数,则设备首先检查是否通过命令admin-user privilege level配置了用户级别

[Quidway] user-interface vty 0
[Quidway-ui-vty0] user privilege level 2

用户级别

命令级别

级别名称

说明

0

0

参观级

网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(Telnet客户端)等。

1

0、1

监控级

用于系统维护,包括display等命令。

说明:

并不是所有display命令都是监控级,比如display current-configuration命令和display saved-configuration命令是3级管理级。

2

0、1、2

配置级

业务配置命令。

3~15

0、1、2、3

管理级

用于系统基本运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP下载、用户管理命令、命令级别设置命令、用于业务故障诊断的debugging命令等。

自定义命令的权限等级配置方法:
系统视图下配置
command-privilege level x(权限等级) view 用户视图 xxx(命令关键字)
说明:权限等级取值范围为0-15
      view取值范围可通过view后加?查看,常用的如shell(用户视图),system(系统视图),interface(接口视图)

例如客户要求,在权限0等级的用户视图下,可以执行display save-configuration,可以通过如下命令实现
command-privilege level 0 view shell display save-configuration
如果恢复该命令的默认权限等级,可通过 undo command-privilege level 0 view shell display save-configuration实现,且该命令必须要求登陆用户权限等级高于或等于该命令当前的权限等级

END