所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R005C10 配置指南-网络管理与监控

本文档介绍了网络管理与监控的配置,具体包括SNMP配置、RMON配置、NETCONF配置、OpenFlow Agent配置、LLDP配置、NQA配置、镜像配置、报文捕获配置、Packet trace、路径/连通性探测配置、NetStream配置、sFlow配置和iPCA配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
NETCONF鉴权

NETCONF鉴权

NETCONF鉴权机制用于管理特定用户执行NETCONF操作和访问NETCONF资源权限,使这些用户只能执行或访问NETCONF协议规定的操作和能力集中预配置好的子集。

HUAWEI-NACM鉴权

概述

HUAWEI-NACM支持的内容如下:
  • 协议操作(Protocol Operation)鉴权:允许使用指定的NETCONF协议操作。

    例如:<edit-config>、<get>、<sync-full>、<sync-inc>、<commit>等操作。

  • 模块(Module)鉴权:允许访问指定的特性模块。

    例如:Telnet-client、L3VPN、OSPF、Fault-MGR、Device-MGR、ISIS等特性模块。

  • 数据节点(Data-node)鉴权:允许查询、修改指定的数据节点。

    例如:/ifm/interfaces/interface/ifAdminStatus/devm/globalPara/maxChassisNum等数据节点。

协议操作和数据节点的鉴权规则可通过命令行配置。

缺省情况下HUAWEI-NACM鉴权使能,且仅对Schema Session生效。

实现原理

HUAWEI-NACM鉴权机制类似于命令行鉴权中的Task鉴权机制。HUAWEI-NACM鉴权是基于NETCONF访问控制模型设计的。

AAA(Authentication Authorization Accounting)定义了Task、Task-group、User-group,Task鉴权机制以Task组织命令,以Task-group组织Task,以User-group组织Task group,形成三级权限控制模型,权限控制粒度由细及粗。

HUAWEI-NACM鉴权机制基于Task鉴权机制实现。HUAWEI-NACM鉴权以订阅的方式获取需要的信息,并存储在本地数据结构中。

NETCONF操作是通过NETCONF会话实现,NETCONF会话是通过SSH协议创建,HUAWEI-NACM鉴权是基于SSH用户(user)实现。

  • user和User-group关联,将用户加入User-group,同一用户组的用户具有相同的权限。

    用户的权限控制在User-group包含的权限范围内。

  • User-group和Task-group关联,User-group由Task-group组织而成。

  • Task-group和Task关联。

    Task-group是一组任务的集合,可以将Task以read、write、execute权限或各种权限的组合方式加入到任务组中。

    一个特性或模块的命令属于一个Task。这是系统预先定义,用户不可新增、修改、删除。

HUAWEI-NACM鉴权示意图如图3-4图3-5所示,HUAWEI-NACM鉴权机制在Task鉴权机制基础上新增了NETCONF协议操作规则和数据节点规则。
图3-4 HUAWEI-NACM鉴权示意图
图3-5 HUAWEI-NACM鉴权示意图

受益

HUAWEI-NACM鉴权机制用于管理特定用户执行NETCONF操作和访问NETCONF资源权限,使这些用户只能执行或访问NETCONF协议规定的操作和能力集中预配置好的子集。

IETF-NACM鉴权

概述

IETF-NACM(IETF NETCONF Access Control Model)提供规则简单易配的数据库访问控制规则,可以更灵活的管理特定用户执行NETCONF操作和访问NETCONF资源权限。

YANG模型定义在ietf-netconf-acm.yang文件中。

IETF-NACM支持的内容如下:
  • 协议操作鉴权:允许执行指定的NETCONF协议操作。

    例如:<get>、<get-config>、<edit-config>、<copy-config>、<delete-config>、<lock>等操作。

  • 模块鉴权:允许访问指定的特性模块。

  • 数据节点鉴权:允许查询、修改指定的数据节点。

  • Notification鉴权:允许通过Notification机制上报指定的告警或事件。

  • 紧急恢复会话:不受访问控制规则限制,直接初始化或者修复IETF-NACM鉴权配置。

    紧急恢复会话是指管理级用户或者加入manage-ug组的用户绕过访问控制规则限制,直接对IETF-NACM鉴权配置进行初始化或者修复的操作。

    管理级用户指的是级别为3级或者15级的用户。

缺省情况下IETF-NACM鉴权不使能,走HUAWEI-NACM鉴权流程。如果IETF-NACM鉴权使能,则走IETF-NACM鉴权流程。

如果使能IETF-NACM鉴权,建立会话时需使能get/ietf-yang-library的访问权限,否则会因为没有权限而导致会话建立失败。

数据节点访问

IETF-NACM的访问控制权限只对NETCONF数据库(<candidate/>、<running/>、<startup/>)生效,通过<url>参数访问的本地或者远端文件或者数据库,不受IETF-NACM控制。

数据节点的访问权限有以下几种:
  • Create:允许客户端在某个数据库中添加新的数据节点。
  • Read:允许客户端从数据库中读取某个数据节点,或者接收通知事件。
  • Update:允许客户端在某个数据库中刷新已存在的数据节点。
  • Delete:允许客户端在某个数据库中删除一个数据节点。
  • Exec:允许客户端执行协议操作。

IETF-NACM模型组件

IETF-NACM模型的组件及功能描述如表3-5所示。

表3-5 IETF-NACM模型组件描述

名称

说明

用户

NACM视图下定义的用户,此用户需是SSH用户。

IETF-NACM仅对用户进行鉴权,用户的认证是在AAA中实现。

NETCONF会话中执行协议操作的是一个组,而不是一个用户,这个组是NACM视图下定义的组。

组的标识是名称,在NETCONF服务器中,组的名称是唯一的。

同一个用户可以是多个组的成员。

全局执行控制

有以下几种执行控制:

  • enable-nacm开关:用来使能或者去使IETF-NACM鉴权功能。当使能IETF-NACM鉴权功能时,所有的请求都要检查访问控制规则,只允许执行控制规则中允许的请求;当去使能IETF-NACM鉴权功能时,走HUAWEI-NACM鉴权流程。

  • read-default开关:用来设置配置数据库和通知的查看权限。当开关设置为“permit”,允许查看NETCONF数据库和通知事件;当开关设置为“undo permit”,拒绝查看NETCONF数据库和通知事件。
  • write-default开关:用来设置配置数据库的修改权限。当开关设置为“permit”,允许修改NETCONF数据库;当开关设置为“undo permit”,拒绝修改NETCONF数据库。
  • exec-default开关:用来设置RPC操作的默认执行权限。当开关设置为“permit”,允许执行NETCONF协议操作;当开关设置为“undo permit”,拒绝执行NETCONF协议操作。

访问控制规则

有5种访问控制规则:

  • 模块名称:指定YANG模块的控制规则,标识为模块名称。

    例如:ietf-netconf。

  • 协议操作:指定协议操作的控制规则,标识为YANG文件中定义的RPC操作名称。

    例如:<get>、<get-config>。

  • 数据节点:指定数据节点的控制规则,标识为YANG文件定义该数据节点的XPATH路径。

    例如:/ietf-netconf-acm:nacm/ietf-netconf-acm:rule-list。

  • Notification:指定通知事件的控制规则,标识为YANG文件定义的告警与事件名称。

    例如:huawei-sem定义的hwCPUUtilizationRisingAlarm。

  • 访问控制操作权限:指定NACM鉴权对象操作类型的控制规则。

    例如:create、delete、read、update、exec。

实现原理

NETCONF会话建立,用户认证通过后,NETCONF服务器基于用户名、组名和NACM鉴权规则列表进行访问权限控制。鉴权规则通过用户组关联到用户,用户组的管理员能够管理组中不同用户的权限。

  • IETF-NACM用户和IETF-NACM用户组关联,将用户加入用户组,同一用户组的用户具有相同的权限。
  • IETF-NACM用户组和IETF-NACM鉴权规则列表关联。
  • IETF-NACM鉴权规则列表和IETF-NACM鉴权规则相关联。

    IETF-NACM鉴权规则列表是一组规则的集合,可以将各种鉴权规则以组合的方式加入到规则列表中,与之相关联的用户可使用IETF-NACM鉴权规则列表中的规则。

IETF-NACM鉴权流程

图3-6所示为IETF-NACM鉴权流程。

图3-6 IETF-NACM鉴权流程

在遍历用户组和鉴权规则列表过程中,没有检查到与请求中携带的用户名相同的user-name,或者没有检查到与当前请求操作匹配的规则时,不同鉴权内容执行的操作不同,具体操作如表3-6所示。

表3-6 不同鉴权内容执行的相应操作

鉴权内容

执行的操作

协议操作鉴权

  • 如果YANG文件定义的RPC操作包含nacm:default-deny-all声明,则拒绝执行RPC请求的操作。
  • 如果RPC请求的操作是<kill-session>或者<delete-config>,拒绝执行此操作。
  • 如果用户具备RPC操作的默认执行权限,则允许执行RPC请求的操作,否则拒绝执行。

数据节点鉴权

  • 如果数据节点定义中包含“nacm:default-deny-all”声明,则该数据节点不支持read和write操作。
  • 如果数据节点定义中包含“nacm:default-deny-write”声明,则该数据节点不支持write操作。
  • 如果用户具备执行查询操作权限,则允许执行read操作,否则拒绝执行。
  • 如果用户具备执行配置操作权限,则允许执行write操作,否则拒绝执行。

Notification鉴权

  • 如果Notification声明中包含“nacm:default-deny-all”声明,则不允许上报通知。
  • 如果用户具备执行查询操作权限,则允许上报通知,否则丢弃通知。
翻译
下载文档
更新时间:2020-01-09

文档编号:EDOC1100075464

浏览量:13536

下载量:225

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页