设置命令级别
系统将命令进行分级管理,各个视图下的每条命令都有指定的级别。设备管理员可以根据用户需要重新设置命令的级别,以实现低级别用户可以使用部分高级别命令的需求,或者将命令的级别提高,增加设备的安全性。
背景信息
为了限制不同用户对设备的访问权限,系统对用户也进行了分级管理。用户的级别与命令级别对应,不同级别的用户登录后,只能使用等于或低于自己级别的命令。
缺省情况下,命令级别按0~3级进行注册,用户级别按0~3级进行注册,未配置command-privilege level rearrange时用户级别和命令级别对应关系如表1-2所示。
表1-2 用户级别和命令级别对应关系用户级别
命令级别
说明
0
参观级(0)
网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(Telnet客户端)、部分display命令等。
1
参观级(0)、监控级(1)
用于系统维护,包括display等命令。说明:并不是所有display命令都是监控级,比如display current-configuration命令和display saved-configuration命令是3级管理级。各命令的级别请参见《CloudEngine 8800, 7800, 6800, 5800系列交换机 命令参考》手册。
2
参观级(0)、监控级(1)、配置级(2)
业务配置命令,包括路由、各个网络层次的命令,向用户提供直接网络服务。
3
参观级(0)、监控级(1)、配置级(2)、管理级(3)
用于系统基本运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP下载、命令级别设置命令以及用于业务故障诊断的debugging命令等。
如果用户需要实现权限的精细管理,可以使用命令command-privilege level rearrange将命令级别批量提升。
命令级别提升后,原命令等级0、1、2、3升级为0、1、10、15级。2~9级和11~14级的命令级别中没有命令行。用户可以单独调整需要的命令行到这些级别中,以实现用户权限的精细化管理。
建议用户不要修改缺省的命令级别或者在专业人员的指导下进行修改,以免造成操作和维护上的不便甚至给设备带来安全隐患。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令command-privilege level level view view-name command-key,设置指定视图内命令的级别。
- (可选)执行命令command-privilege level rearrange,批量提升命令的级别。
在执行此命令之前,需要用户确保自己的级别为管理级别(3级或15级),否则无法执行该命令。
如果用户没有对某条命令单独调整过命令级别(执行command-privilege level命令修改过命令级别的命令,维持原来级别不作调整),命令级别批量提升后,原注册的所有命令行按以下原则自动调整:
0级和1级命令保持级别不变。
2级命令提升到10级,3级命令提升到15级。
命令级别提升后,原命令等级0、1、2、3升级为0、1、10、15级。2~9级和11~14级的命令级别中没有命令行。用户可以单独调整需要的命令行到这些级别中,以实现用户权限的精细化管理。
- 执行命令commit,提交配置。