在[edit system]环境下使用命令
root#set longin user w00w00
添加帐号w00w00
设置用户密码
root#set login user authentication plain-text-password
输入密码,确认就ok了
还有一个安全等级的概念。在系统里分等级权限来管理是个好办法,比如你想一个用户
是只读状态,比如你想他可以配置某一类的命令 比如firewall snmp等
这都要使用等级权限分类进行管理
在juniper router里面
我们可以使用以下命令进行权限管理,juniper的权限分的很好
[edit system]状态下
root#set longin user w00w00 class superuser
class是语法,指定用户的等级权限
这是个predefined classes
其他的包括有
operator
read-noly
superuser
unauthorized
其中superuser的权限是all,无所不能....operator的权限只比readonly大那么一丁点
呵呵。
operator可以清ARP表,可以重起机器,可以ping和telnet,可以看一下输出命令
show的内容,但是始终不能看configuration :-)
操作工就是操作工啊,sigh....
w00w00
试图突破这些,假设他是operator的话
他面对的只有
>show configuration
version /*access-denied*/
system /access-denied/
interface /*access-denied*/
显然,这样的权限设置单调了些,也委屈了operator,关键的是,你要是想他帮你
实现一些任务的时候,他就力不从心了
所以,要自己定义一下权限等级,允许用户进行那么操作
在[edit system]底下
#set login class permissions
比如
设置
#set login class provisioning permission [clear network reset trace view
configure interface-control]
那么,provisioning等级的兄弟似乎该开心多点了吧
然后
我们就可以设置用户的等级
#set login user w00w00 class provisioning
恩,我不想某人讨厌的使用一些命令
#set login class deny-commands
这样就可以去除等级中的某种权限
比如,我想你最关心是的是request system reboot吧,嘿嘿
#set class all-but-reboot all deny-commands "request system reboot"
all-but-root用户(假设在superuser等级)的reboot武功就给废了,可能是老板
透露给我他最近想辞工吧......
那想强行来都没办法
operation>request system reboot
syntax error,expecting :-P
当然,还可以设置idle时间,有时间发呆那就踢出去发呆个够好了
#set login class idle-timeout
QQ群⑧:
窥视卡
雷达卡
发表于 2015-5-26 08:55:54
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡