遠(yuǎn)程認(rèn)證、本地

　　dis local-user state active

　　Device management user user-fh:

　　State: Active

　　Service type: None

　　User group: system

　　Bind attributes:

　　Authorization attributes:

　　Work directory: slot1#sda0:

　　User role list: network-operator

　　Password control configurations:

　　Password complexity: username checking

　　問(wèn)題描述

　　遠(yuǎn)程服務(wù)器認(rèn)證，本地。目前測(cè)試的用戶名為user-fh，想讓此用戶只有查看的權(quán)限，沒有操作的權(quán)限。

　　(1)web登錄后，發(fā)現(xiàn)擁有所有權(quán)限 ;(2)命令行登錄后，權(quán)限正常，但可以更改其他用戶及自己的權(quán)限。例如將自己變成network-admin。

　　過(guò)程分析查看現(xiàn)場(chǎng)配置，優(yōu)先tacacs，tacacs失敗再本地。由于進(jìn)行了遠(yuǎn)程tacacs，本地?zé)o效，從而出現(xiàn)上述現(xiàn)象。

　　解決方法

　　(1)本地優(yōu)先

　　domain cmbc-acs

　　authorization login local hwtacacs-scheme acs //本地優(yōu)先

　　(2)本地用戶配置

　　local-user user-fh class manage

　　authorization-attribute user-role network-operator

　　password simple xxxxxx //新添加配置

　　service-type https ssh //新添加配置