华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置AAA方案
配置AAA方案
背景信息
如果需要采用本地方式进行认证和授权,需要在认证方案中配置认证模式为本地认证,在授权方案中配置授权模式为本地授权。
缺省情况下,设备对用户进行本地认证和授权。
操作步骤
- 配置认证方案
- 执行命令system-view,进入系统视图。
- 执行命令aaa,进入AAA视图。
- 执行命令authentication-scheme authentication-scheme-name,创建一个认证方案,并进入认证方案视图或直接进入一个已存在的认证方案视图。
缺省情况下,设备中有一个认证方案,认证方案名称是default,不能删除,只能修改。
- 执行命令authentication-mode local,配置认证模式为本地认证。
缺省情况下,认证模式为本地认证。
- 执行命令commit,提交配置。
- 配置授权方案
- 执行命令system-view,进入系统视图。
- 执行命令aaa,进入AAA视图。
- 执行命令authorization-scheme authorization-scheme-name,创建授权方案,并进入授权方案视图或直接进入一个已存在的授权方案视图。
缺省情况下,设备有一个授权方案,授权方案配置名是default,不能删除,只能修改。
- 执行命令authorization-mode local [ none ],配置授权模式。
缺省情况下,授权模式为本地授权模式。
- 执行命令quit,返回AAA视图。
- (可选)执行命令task-group task-group-name,创建任务组并进入任务组视图。
缺省情况下,系统未创建任务组。
- 选择执行以下命令之一,设置任务权限。
- 执行task task-name { read | write | execute | debug } *,设置指定任务的权限。
- 执行batch-task { read | write | execute | debug } * task-name-list { task-name &<1-20> },批量设置任务权限。
- 执行task-all { read | write | execute | debug } *,批量设置所有任务权限。
- (可选)执行命令include task-group task-group-name,将指定任务组的权限加入到当前任务组中。
缺省情况下,任务组中没有添加对其他任务组的权限包含关系。
如果当前任务组的权限需要完全包含另一任务组的权限,或者当前任务组需要继承已有任务组的权限时,可在任务组中配置包含关系,将指定任务组的权限加入到当前任务组中。
当前任务组的权限依赖于被包含任务组的权限,当修改被包含任务组的权限信息后,当前任务组的权限也会随之修改。
- (可选)执行命令rule command rule-name permit view view-name expression command-string,在当前任务组创建一条权限规则,配置对命令行的执行权限。
缺省情况下,任务组下没有配置命令行权限规则。
该命令比task命令更精细化,可以在任务组中对一条或一批前缀相同的命令行进行授权,或者禁止一条或一批前缀相同的命令行的执行。
同一个任务组中,该命令的优先级高于本任务组中的task命令,当rule command命令的配置与task命令的权限配置相冲突时,以rule command命令的配置为准。
- (可选)执行命令quit,返回AAA视图。
- (可选)执行命令user-group user-group-name,创建用户组并进入用户组视图。
缺省情况下,系统未创建用户组。
- (可选)执行命令task-group task-group-name,将指定的任务组加入到当前的用户组所关联的任务组列表中。
缺省情况下,用户组未关联任何任务组。
- (可选)执行命令include user-group user-group-name,将指定用户组的权限加入到当前用户组中。
缺省情况下,用户组中没有添加对其他用户组的权限包含关系。
如果当前用户组的权限需要完全包含另一用户组的权限,或者当前用户组需要继承已有用户组的权限时,可在用户组中配置包含关系,将指定用户组的权限加入到当前用户组中。
当前用户组的权限依赖于被包含用户组的权限,当修改被包含用户组的权限信息后,当前用户组的权限也会随之修改。
- (可选)执行命令rule command rule-name { permit | deny } view view-name expression command-string,在当前用户组创建一条权限规则,配置对命令行的执行权限。
缺省情况下,用户组下没有配置命令行权限规则。
当进行task鉴权时,用户组下的权限规则(rule command(用户组视图)命令)、任务组下的权限规则(rule command(任务组视图)命令)和任务组下的task任务(task命令)的匹配顺序如下:优先匹配用户组下的权限规则(包括自身配置的和通过include user-group命令继承的权限规则),然后匹配任务组下的权限规则,最后匹配任务组下的task任务。
如果用户组的权限配置与该用户组通过include user-group命令继承的其他用户组的权限规则相冲突,则以本用户组的配置为准。
- 执行命令commit,提交配置。
