通過為用戶授權角色實現(xiàn)角色與用戶的關聯(lián)。將有效的用戶角色成功授權給用戶后，登錄設備的用戶才能以各角色所具有的權限來配置、管理或者監(jiān)控設備。根據(jù)用戶登錄設備時采用的不同認證方式。。

　　一個用戶角色中可以包含多條用戶角色規(guī)則，每條規(guī)則定義了是允許或禁止用戶對某命令、特性、特性組、Web菜單、XML元素或者OID進行操作。

　　舉例：

　　實現(xiàn)role1具有如下用戶權限：

　　允許用戶執(zhí)行arp靜態(tài)綁定，并可以查詢此配置已生效 的權限。

　　#

　　role name role1

　　rule 1 permit command system ; arp static *

　　rule 2 permit command display current-configuration*

　　#

　　local-user h3c class manage

　　password hash $h$6$hWQ/7LckAp9mFIrq$ok7ElJLku3rG9lbsqS02FtBZiZ5fCiydyerYadVZyq1WjG8cJC0U6Xcy1z5J16mhEYVy3FmBhsTdLpImqbjlAw==

　　service-type telnet

　　authorization-attribute user-role role1

　　#

　　輸入命令特征字符串時，需要遵循以下規(guī)則：

　　（1）段（segment）的劃分

　　  若要描述多級視圖下的命令，則需要使用分號（；）將命令特征字符串分成多個段，每一個段代表一個或一系列命令，后一個段中的命令是執(zhí)行前一個段中命令所進入視圖下的命令。一個段中可以包含多個星號（*），每個星號（*）代表了0個或多個任意字符。例如：命令特征字符串“system ; interface * ; ip * ;”代表從系統(tǒng)視圖進入到任意接口視圖后，以ip開頭的所有命令。

　　  除最后一個段外，其余段中的命令應為描述如何進入子視圖的命令特征字符串。

　　  一個段中必須至少出現(xiàn)一個可打印字符，不能全部為空格或Tab。

　?。?）分號的使用

　　  在輸入命令特征字符串時必須指定該命令所在的視圖，進入各視圖的命令特征字符串由分號分隔。但是，對于能在任意視圖下執(zhí)行的命令（例如display命令）以及用戶視圖下的命令（例如dir命令），在配置包含此類命令的規(guī)則時，不需要在規(guī)則的命令匹配字符串中指定其所在的視圖。

　　  當最后一個段中的最后一個可見字符為分號時，表示所指的命令范圍不再擴展，否則將向子視圖中的命令擴展。例如：命令特征字符串“system ; radius scheme * ;”代表系統(tǒng)視圖下以radius scheme開頭的所有命令；命令特征字符串“system ; radius scheme * ”代表系統(tǒng)視圖下以radius scheme開頭的所有命令，以及進入子視圖（RADIUS方案視圖）下的所有命令。

　　（3）星號的使用

　　  當星號（*）出現(xiàn)在一個段的首部時，其后面不能再出現(xiàn)其它可打印字符，且該段必須是命令特征字符串的最后一個段。例如：命令特征字符串“system ; *”就代表了系統(tǒng)視圖下的所有命令，以及所有子視圖下的命令。

　　 當星號（*）出現(xiàn)在一個段的中間時，該段必須是命令特征字符串的最后一個段。例如：命令特征字符串“debugging * event”就代表了用戶視圖下所有模塊的事件調試信息開關命令。