登录
【IT168专稿】我们经常使用的操作系统是可以根据用户的级别和操作不同而赋予不同的管理权限的,这样一方面可以保证系统的安全性,另一方面也可以有效的管理多个用户。不过对于企业经常使用的路由交换设备则很少涉及到权限分配操作,这样就会造成在多人同时掌握路由器密码问题上出现分歧,严重的直接带来企业网络设备的安全隐患。今天笔者就为各位IT168的读者介绍如何在路由器上通过分配权限来解决不同用户使用不同命令的方法。
一、为什么要对路由器操作划分权限
本文所探讨的并不是针对路由器登录用户的权限进行划分,因为这样分配很简单,只需要在建立路由器用户名时对其分配administrator组或user组甚至是guest组即可。本文所说的是针对路由器中某条指令的权限进行划分,因为也许默认情况下A命令不能够让user组用户运行而企业实际使用过程中需要user组用户执行A命令又不想过分放开权限让其成为administrator组帐户,这样就需要涉及到命令权限的划分。
说白了就是通过对命令权限的指定和划分可以让我们随意的将某条路由器设置命令赋予不同的用户组,让该用户组用户原本不能使用此命令的可以执行该命令。
二、简单解释command-privilege命令
笔者以华为3COM公司的最新路由器MSR2020为例进行介绍,首先我们要登录到该设备的配置界面,然后会发现command-privilege指令,这个指令就是帮助我们分配命令权限的工具。
command-privilege是帮助中低端路由器自定义命令级别的指令,他可以为低级别用户增加高级别命令。一般的使用格式为command-privilege level X view Y Z。
X:用户优先级,取值范围0-3。
Y:视图,增加命令所在的视图,如用户视图为user或shell、系统视图是system、RIP协议视图rip等。
Z:增加的命令。
三、如何实现路由器配置命令的权限划分
下面为了帮助各位读者理解笔者举一个例子来介绍command-privilege的使用。例如笔者想为游客级别的用户添加能够查询企业路由器具体配置的权限。我们就可以通过command-privilege实现。
首先登录路由器管理界面,然后执行command-privilege level 0 view user display current-configuration,这句指令代表的意思就是将用户组的display current-configuration这个指令的权限使用改变为level 0级别(如图1)。
|
图1 |
了解了路由器中的分级设置后我们就可以明白上面指令的意思了,他实际上是将本来只有在user组中可以使用而guest组无法使用的display current-configuration指令交给了level 0组使用,这样我们再用guest帐户登录路由器后就能够看到该指令已经可以使用了(如图2)。
|
图2 |
当然这种改变命令使用对象权限的工作是非常细的,上面指令是将display current-configuration指令交给了level 0组使用,所以level 0游客组将只能够使用display current-configuration命令,其他display命令都无法使用,我们用游客帐户登录后在dis cur命令后是没有其他任何参数的(如图3)。
|
图3 |
至此我们就通过command-privilege命令完成了一次命令使用权限的更改工作,在企业网络实际使用过程中就可以随时通过此命令更好的管理用户和用户组的命令使用权限了。
四、总结
当然command-privilege命令可以帮助低级别低权限的用户使用高级命令,同时他也可以将低级命令升级为只能够高级用户使用,这样就可以更轻松更灵活的帮助企业网络管理员维护企业核心路由交换设备的配置权限了。
| 第1页:巧设置 让路由器也能玩权限 |
