菜鸡工程师,netconf
问题描述:
设备针对NETCONF的权限说明,各位有吗
组网及组网描述:
参考:
设置权限:
4.3 配置NETCONF用户属性
1. 配置限制和指导
本文采用新建本地用户介绍配置过程。使用远端认证用户的配置方式请参见具体认证方式的配置指导,只要使通过认证的NETCONF用户满足以下两个条件:
· 使用NETCONF over SSH连接方式时,服务类型为SSH。使用NETCONF over SOAP over HTTP连接方式时,服务类型为HTTP。使用NETCONF over SOAP over HTTPS连接方式时,服务类型为HTTPS。
· 具有所需权限。
2. 配置步骤
进入系统视图。
system-view
添加设备管理类本地用户,并进入设备管理类本地用户视图。
local-user user-name class manage
设置本地用户的密码。
(非FIPS模式)
password [ { hash | simple } string ]
(FIPS模式)
password
在非FIPS模式下,可以不为本地用户设置密码;在FIPS模式下,必须且只能通过交互式方式设置明文密码,否则用户的本地认证不能成功。
(4) 设置本地用户可以使用的服务类型。请根据连接方式选择其中一项进行配置
¡ 使用NETCONF over SSH连接方式:
service-type ssh
¡ 使用NETCONF over SOAP over HTTP或NETCONF over SOAP over HTTPS连接方式:
(非FIPS模式)
service-type { http | https } *
(FIPS模式)
service-type https
缺省情况下,本地用户不能使用任何服务类型。
(5) 设置本地用户的角色。
authorization-attribute user-role role-name
4 在设备上为NETCONF用户设置权限
使用配置工具与设备建立NETCONF连接前,需要确保NETCONF用户具有对应的操作权限。
4.1 确定NETCONF用户需要的权限
在Comware V7系统中,用户的权限通过它所属的角色的权限来控制,角色的权限主要包括规则和资源策略两个方面。
在规则方面,NETCONF用户角色需要如下权限:
· 执行NETCONF操作需要具有执行XML元素NETCONF RPC节点的权限,不同NETCONF操作需要的权限不同,具体请参见表2。
· 执行NETCONF操作内容的权限可以通过用户执行XML元素具体模块及其表的Xpath的权限控制,例如配置用户具有执行XML元素接口模块的权限,需要执行rule number permit read write execute xml-element ifmgr/命令。
在资源策略方面,可以根据实际需要配置用户角色操作接口、VLAN、VPN、安全域的权限。缺省情况下,用户具有操作所有资源的权限。
缺省用户角色network-admin、mdc-admin、context-admin可操作对应设备/MDC/Context的所有功能和资源(除安全日志文件管理相关命令display security-logfile summary、info-center security-logfile directory、security-logfile save之外)的权限,如果用户所属角色是这几种,则不需要进行权限配置,只需要指定用户角色为network-admin、mdc-admin或context-admin即可。
更多关于用户角色权限控制的内容,请参见“基础配置指导”中的“RBAC”。
表2 执行NETCONF操作需要配置的权限
执行的NETCONF操作
需要配置的权限节点
需要配置的权限
建立NETCONF会话
不涉及
执行xml命令的权限
从设备订阅事件
rpc/create-subscription
execute
给当前配置加锁
rpc/lock
execute
给当前配置解锁
rpc/unlock
execute
使用<get>获取信息
rpc/get
read
使用<get>获取系统支持的事件流
rpc/get/filter/netconf
read
使用<get>获取NETCON状态信息
rpc/get/filter/netconf-state
read
使用<get-bulk>获取信息
rpc/get-bulk
read
使用<get-config>获取配置信息
rpc/get-config
read
使用<get-bulk-config>获取配置信息
rpc/get-bulk-config
read
使用<get-schema>获取yang文件信息
rpc/get-schema
read
<edit-config>编辑指定模块数据
rpc/edit-config
write
执行一个<action>操作
rpc/action
execute
配置保存
rpc/save
write
配置回滚
rpc/rollback
write
配置加载
rpc/load
write
命令行操作
rpc/CLI
write
获取会话信息
rpc/get-sessions
read
关闭另一个会话
rpc/kill-session
execute
执行语法验证
rpc/validate
read
暂无
https://www.h3c.com/cn/Service/Document_Software/Document_Center/Home/Switches/00-Public/Configure/Operation_Manual/NETCONF_OM-6W103/
7小时前回答暂无
你正在,netconf