03-RBAC配置
本章节下载: 03-RBAC配置 (584.64 KB)
1.10.2 Telnet用户的RADIUS用户角色授权配置举例
1.10.3 Telnet用户的HWTACACS用户角色切换认证配置举例
1.10.4 Telnet 用户的RADIUS用户角色切换认证配置举例
1.11.2 使用远程认证服务器进行身份认证的用户登录设备失败
RBAC(Role Based Access Control,基于角色的访问控制)通过建立“权限<->角色”的关联实现将权限赋予给角色,并通过建立“角色<->用户”的关联实现为用户指定角色,从而使用户获得相应角色所具有的权限。RBAC的基本思想就是给用户指定角色,这些角色中定义了允许用户操作哪些系统功能以及资源对象。RBAC采用权限与用户分离的思想,提高用户权限分配的灵活性,减小用户授权管理的复杂度,降低管理开销。
为一个用户角色赋予权限的具体实现包括以下两个方面:
· 定义用户角色规则:实现对系统功能的操作权限的控制。例如,定义用户角色规则允许用户配置A功能,或禁止用户配置B功能。
· 定义资源控制策略:实现对系统资源的操作权限的控制。例如,定义资源控制策略允许用户操作VLAN 10。
资源控制策略需要与用户角色规则相配合才能生效。在用户执行命令的过程中,系统对该命令涉及的系统资源使用权限进行动态检测,因此只有用户同时拥有执行该命令的权限和使用该资源的权限时,才能执行该命令。例如,若管理员为某用户角色定义了一条规则允许用户执行创建VLAN的命令vlan,且同时定义了一条VLAN策略允许用户操作VLAN 10,则当用户被授权此用户角色并试图创建VLAN 10时,操作会被允许,但试图创建其它VLAN时,操作会被禁止。若管理员并没有为该用户角色定义规则允许用户执行创建VLAN命令,则用户即便拥有该VLAN资源的操作权限,也无法执行相关的命令。
用户角色规则定义了允许/禁止用户操作某些功能的权限。一个用户角色中可以包含多条用户角色规则,每条规则定义了是允许还是禁止用户对某命令、特性、特性组、XML元素或者OID进行操作。
· 基于命令的规则:用来控制一条命令或者与指定命令关键字相匹配的一类命令是否允许被执行。
· 基于特性的规则:用来控制特性包含的命令是否允许被执行。
· 基于特性组的规则:用来同时对多个特性包含的命令进行控制。
· 基于XML元素的规则:用来控制指定的XML元素是否允许被执行。
· 基于OID的规则:用来控制指定的OID是否允许被SNMP访问。
RBAC对命令、特性、特性组、XML元素或者OID进行的操作,又包括三种类型:
· 读类型:用于显示系统配置信息和维护信息。如显示命令display、显示文件信息的命令dir为读类型的命令。
· 写类型:用于对系统进行配置。如开启信息中心功能的命令info-center enable、配置调试信息开关的命令debugging为写类型的命令。
· 执行类型:用于执行特定的功能。如ping命令、与FTP服务器建立连接的命令ftp为执行类型的命令。
一个用户角色中可以定义多条规则,各规则以创建时指定的编号为
支持