A feature RBAC – Role Based Access Control permite administrarmos a forma como os outros usuários locais poderão interagir com a configuração do Switch/Roteador (com o Comware 7) para os seguintes parametros:
- VLANs
- Interfaces (físicas e lógicas)
- features : read/write/execute
- comandos CLI
- Processo da VRF (VPN instances)
Por exemplo, vamos imaginar que você queira permitir para um usuário apenas o acesso para leitura das configurações.
role name usuarioX
rule 1 permit read feature
! A regra permitirá apenas a leitura do arquivo de configuração
quit
#
local-user usuarioX
password simple 123
service-type ssh telnet terminal
authorization-attribute user-role usuarioX
! Vinculando a regra usuarioX
undo authorization-attribute user-role network-operator
! removendo a regra padrão de novos usuários
quit
#
Caso não tenha configurado a interface VTY aplique os comandos abaixo
# line vty 0 63 authentication-mode scheme quit #
Durante o teste é possível acessar o modo system-view e visualizar os comandos “display”. Mas para alterar as configurações o usuário terá a permissão negada.
<pre> system
[Sw1] inter?
permission denied.
[Sw1]
O site http://abouthpnetworking.com/2014/04/03/rbac-protecting-the-bfd-mad-vlan/ nos dá um exemplo bem bacana para a criação de regras para proteger a VLAN e as interfaces do MAD BFD para o IRF.
role name sysadmin rule 1 permit read write execute feature ! permitindo todas as features RWX vlan policy deny permit vlan 1 to 4000 permit vlan 4002 to 4094 ! Controlando a configuração de VLANs, permitindo todas exceto a vlan 4001 interface policy deny permit interface GigabitEthernet1/0/1 to GigabitEthernet1/0/23 permit interface GigabitEthernet2/0/1 to GigabitEthernet2/0/23 ! Controlando a config. de interfaces, permitindo todas exceto as do MAD BFD. ! que são as interfaces Giga 1/0/24 e 2/0/24. quit quit # local-user sysadmin password simple hp service-type ssh telnet terminal authorization-attribute user-role sysadmin undo authorization-attribute user-role network-operator #
Testes
[HP] # Acesso restrito para as interfaces BFD MAD [HP]int g1/0/24 Permission denied. # Acesso permitido para outras interfaces interface GigabitEthernet1/0/1 port link-mode bridge shutdown # Qualquer configuração pode ser aplicada as outras interfaces [HP-GigabitEthernet1/0/1]undo shut [HP-GigabitEthernet1/0/1]port link-type trunk # ...mas o 'permit vlan all' falhará (tentativa para adicionar a vlan 4001) [HP-GigabitEthernet1/0/1]port trunk permit vlan all Permission denied. # A permissão para todas as outras VLANs funcionará normalmente: [HP-GigabitEthernet1/0/1]port trunk permit vlan 1 to 4000 [HP-GigabitEthernet1/0/1]port trunk permit vlan 4002 to 4094
Até logo.