Brocade: Управление пользователями на оптических коммутаторах

В операционной системе Fabric OS (FOS) коммутаторов Brocade управление учётными записями выполняется командой "userConfig", которая поддерживает следующие роли для шасси (chassis) и логических фабрик (LF):
admin - полный доступ ко всем командам;
user - только чтение (read-only), минимальные привилегии;
switchadmin - управление коммутатором, но не зонированием;
zoneadmin - управление зонированием;
fabricadmin - управление fabric-сервисами;
basicswitchadmin - ограниченное управление коммутатором;
operator - расширенные права (управление портами, но не конфигурацией);
securityadmin - управление политиками безопасности.

Например, для создания учётной записи с правами только чтение используется роль "user".
Для более детального просмотра роли выполните:
roleconfig --show <role>


Чтобы просмотреть учётные записи, воспользуйтесь командами:

Показать всех пользователей:
userconfig --show -a
Показать конкретного пользователя:
userconfig --show <username>
Показать пользователей с определённой ролью:
userconfig --show -r <role>


Чтобы создать нового пользователя:

userconfig --add <username> -r <LF_role> -l <LF_ID_list> [-h <home_LF>] [-c <chassis_role>] [-p <password>] [-d <description>]

Пример создания read-only пользователя "monitor":
userconfig --add monitor -l 1-128 -h 128 -r user -c user -p 'mypassword' -d "Monitoring account"

где
-r user — роль внутри логических фабрик (только чтение);
-l 1-128 — доступ ко всем LF с 1 по 128;
-h 128 — домашняя LF (по умолчанию попадает в FID 128);
-c user — роль на уровне шасси (также только чтение);
-p — пароль;
-d — описание учётной записи.

Важно: для read-only доступа обязательно указывайте "-c user" и "-r user". Без "-c user" пользователь может не иметь доступа к глобальной конфигурации.


Чтобы изменить параметры существующего пользователя используйте команду "userconfig --change", которая позволяет менять роль, список LF, домашнюю LF, блокировку, описание и пароль:

userconfig --change <username> [-l <LF_list> -r <LF_role>] [-h <home_LF>] [-c <chassis_role>] [-e yes|no] [-x] [-u] [-d <description>] [-at <HH:MM-HH:MM>]

Пример изменения роли пользователя "monitor" на admin:
userconfig --change monitor -l 1-128 -h 128 -r admin -c admin

Пример изменения описания пользователя:
userconfig --change monitor -d "New description"

Пример установки домашней LF в 10:
userconfig --change monitor -h 10

Пример разблокировки учётной записи (после нескольких неудачных попыток):
userconfig --change monitor -u

Принудительно заставить пользователя сменить свой пароль при следующем входе в систему:
userconfig --change monitor -x

Пример отключения учётной записи (без удаления):
userconfig --change monitor -e no

Пример включения учётной записи:
userconfig --change monitor -e yes

Сменить пароль (интерактивно):
passwd monitor

Пример установки ограничения доступа по времени (с 9:00 до 18:00):
userconfig --change monitor -at 09:00-18:00

Пример снятия ограничения доступа по времени:
userconfig --change monitor -at 00:00-00:00


Чтобы управлять доступом к логическим фабрикам:

Для добавления доступа к дополнительным LF используйте команду:
userconfig --addlf <username> -l <LF_list> -r <LF_role> [-h <home_LF>] [-c <chassis_role>]

Пример добавления пользователю "monitor" доступа к LF 10 с ролью user:
userconfig --addlf monitor -l 10 -r user

Для удаления доступа к определённым LF:
userconfig --deletelf <username> -l <LF_list>

Пример удаления доступа к LF 10:
userconfig --deletelf monitor -l 10


Чтобы удалить пользователя используйте команду "userconfig --delete":

userconfig --delete <username>

Пример удаления пользователя:
userconfig --delete monitor


Для диагностики проблем со входом проверьте логи аудита:

auditdump --show | grep -i <username>

Примечание: для выполнения команд --add, --change, --delete, --addlf, --deletelf требуются права администратора (наличие роли admin или securityadmin).