设置命令级别
背景信息
为了限制不同用户对设备的访问权限,系统对用户也进行了分级管理。用户的级别与命令级别对应,不同级别的用户登录后,只能使用等于或低于自己级别的命令。缺省情况下,命令级别按0~3级进行注册,用户级别按0~15级进行注册,用户级别和命令级别对应关系如表1-5所示。
命令级别 |
说明 |
举例 | 用户级别 |
---|---|---|---|
参观级(0级) |
网络诊断命令 |
|
所有级别(0~15级) |
访问外部设备命令 |
|
||
监控级(1级) |
系统维护命令 |
display命令 说明:
并不是所有display命令都是监控级,比如display current-configuration命令和display saved-configuration命令是3级管理级。 |
不低于监控级(1~15级) |
配置级(2级) |
业务配置命令 |
路由配置命令 | 不低于配置级(2~15级) |
管理级(3级) |
系统基本运行命令 |
|
管理级(3~15级) |
系统支撑模块命令 |
|
各命令的级别请参见《S600-E V200R019C10 命令参考》。
缺省的命令级别设置已基本可以满足用户对操作权限的控制,一般不需要重新设置。如果对用户操作权限有特殊要求,需要调整某级别的用户可进行的操作,例如希望只有4级及以上用户才可以执行stelnet命令,设备提供了调整命令行级别的功能,可以将stelnet命令的级别提升至4级。
调整命令行级别,不仅可以提升命令行的级别,也包含降低命令行的级别。
不建议随意修改缺省的命令级别,否则会影响其他用户对命令的使用。另外某条命令的级别被单独修改后,批量提升命令级别,此时命令级别将保持不变,所以需要同时进行命令的批量提升和逐条提升时,建议先执行批量提升。
由于某些命令是否能够执行需要依赖其他条件,如只有配置其他命令后才能配置该命令,或该命令本身为升级兼容命令等,当执行command-privilege level命令对这些命令进行级别调整后,调整后的命令不一定能够执行。即命令级别的调整与该命令是否能够执行没有必然联系。
操作步骤
- 执行命令system-view,进入系统视图。
- 设置命令级别。
- 执行命令command-privilege level level view view-name command-key,设置指定视图内命令的级别。
- 执行命令command-privilege level rearrange,批量提升命令的级别。
对于没有单独调整过级别的命令,批量提升命令级别后,按以下原则自动调整:
0级和1级命令保持级别不变。
2级命令提升到10级,3级命令提升到15级。
2~9级和11~14级这些命令级别中没有命令行。用户可以单独调整需要的命令行到这些级别中,以实现用户权限的精细化管理。
- 对于执行command-privilege level level view view-name command-key命令修改过命令级别的命令,批量提升命令级别后,维持原来级别不变。
在执行此命令之前,用户需要确保自己的级别为15级,否则无法执行该命令。