H3C账号权限配置

本示例为（V7版本）

什么是设备三权账号？
答：三权账号分别是管理账号、审计账号、安全管理账号

### 权限说明

```
security-audit   安全日志管理员(系统中的最后一个安全日志管理员角色的本地用户不可被删除，重新创建一个登陆账号解决问题；
network-admin    具有最高权限，可操作系统所有功能和资源(除安全日志文件管理相关命令外)；
network-operator   可执行系统所有功能和资源的相关display命令 (除安全日志等查看命令外)；
level-0          可执行命令ping、tracert、ssh2、telnet和super，且管理员可以为其配置权限；
level-1          具有leve-0用户角色的权限，并且可执行系统所有功能和资源的相关display命令(除display history-command all之外)，以及管理员可以为其配置权限；
level-2~8        无缺省权限，需要管理员为其配置权限；
level-10~14      无缺省权限，需要管理员为其配置权限；
level-9          可操作系统中绝大多数的功能和所有的资源，且管理员可以为其配置权限，但不能用display history-command all命令、RBAC的命令(Debug命今除外)、文件管理以及本地用户特性。对于本地用户，若用户登录系统并被授予该角色，可以修改自己的密码；
level-15         具有与network-admin角色相同的权限。
```

### 常用配置
```
#1、配置ACL规则，后续在ssh调用，只允许管理网段IP远程登录设备（修改只允许的IP和反掩码）
#备注：基本acl编号为2000--2999，规则以5为步长，如果编号和在用的重复请更改。

acl number 2000
 rule 0 permit source 192.168.10.0 0.0.0.255
 rule 5 permit source 192.168.20.0 0.0.0.255
 rule 10 permit source 192.168.30.0 0.0.0.255
 rule 999 deny
 quit

#2、配置VTY用户线同时在线5个，认证方式为scheme（AAA模式），空闲超时5分钟退出（不用修改）

line vty 0 4
 authentication-mode scheme
 idle-timeout 5 0 
 quit

#3、开启SSH服务（不用修改）

ssh server enable

#4、配置ssh服务调用acl 2000，调用以后，只有ACL规则中允许的IP可以远程ssh登录 （修改ACL编号和上面#1的一样）

ssh server acl 2000

#5、创建本地用户管理账号client001（可修改），并设置用户密码为Huasan@123...（可修改）、服务类型为SSH、terminal（console），
#5、用户角色为默认network-operator，，用户角色级别为level-1
#5、可执行命令ping、tracert、ssh2、telnet和super
#5、并且可执行系统所有功能和资源的相关display命令(除display history-command all之外)

local-user client001 class manage
 password simple Huasan@123...
 service-type ssh terminal
 authorization-attribute user-role level-1
 authorization-attribute user-role network-operator

#6、创建本地用户审计账号client002（可修改），并设置用户密码为Huasan@456...（可修改）、服务类型为SSH、terminal（console），
#6、用户角色为默认network-operator，，用户角色级别为level-9
#6、可操作系统中绝大多数的功能和所有的资源，且管理员可以为其配置权限，
#6、但不能操display history-command all命令、RBAC的命令(Debug命今除外)、文件管理以及本地用户特性。
#6、对于本地用户，若用户登录系统并被授予该角色，可以修改自己的密码

local-user client002 class manage
 password simple Huasan@456...
 service-type ssh terminal
 authorization-attribute user-role level-9
 authorization-attribute user-role network-operator

#7、创建本地用户安全管理账号client003（可修改），并设置用户密码为Huasan@678...（可修改），服务类型为SSH、terminal（console），
#7、用户角色为network-admin，拥有最该级别权限

local-user client003 class manage
 password simple Huasan@789...
 service-type ssh terminal
 authorization-attribute user-role network-admin

```

### 实例
#### 新增只读账号abc
```
[H3C]local-user abc class manage
New local user added.
[H3C-luser-manage-getinfo] password simple localnetwork.cn
[H3C-luser-manage-getinfo] service-type ssh terminal
[H3C-luser-manage-getinfo] authorization-attribute user-role level-1
[H3C-luser-manage-getinfo] authorization-attribute user-role network-operator
[H3C-luser-manage-getinfo]exit
[H3C]exit
<H3C>

```
#### 为level-1配置可以执行的命令
```
//配置角色 level-1 可以使用以下备份命令
// backup stratup-config to <dest-ip> [new-filename.cfg]
// tftp <dest-ip> put startup.cfg [new-filename.cfg]

[SW]role name level-1  
[SW-role-level-1]rule 10 permit command  backup *
[SW-role-level-1]rule 11 permit command  tftp *

```

参考：
https://blog.csdn.net/wenhe0119/article/details/128322483

[华三交换机的用户权限设置](https://blog.csdn.net/qq_42906357/article/details/122686317 "华三交换机的用户权限设置")