Come posso limitare un utente per determinati comandi su Cisco IOS

8

Devo assicurarmi che un determinato utente su un router IOS possa digitare solo comandi specifici. Sono stato in grado di farlo con livelli di privilegi, ma ogni volta che l'utente digitava "abilita" tornava al livello 15 privato e stava per digitare tutti i comandi. Voglio assicurarmi che anche quando inserisce "abilita" sarà ancora in grado di digitare solo i comandi specifici che ho autorizzato. Ho anche provato con Cli basati sui ruoli ma ho riscontrato lo stesso problema. Non voglio usare nessun server di autenticazione esterno.

Grazie!

router  cisco-ios 
Harnik
fonte
Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.
Ron Maupin

Risposte:

7

Conosci già la maggior parte della risposta alla tua domanda: devi configurare i comandi che l'utente può eseguire a un livello di privilegio specifico. enablesenza un argomento a livello di privilegio, il valore predefinito è il livello di privilegio 15, che dispone delle autorizzazioni per eseguire tutti i comandi. Le due cose che devi fare sono:

  1. Modifica la password di abilitazione predefinita in modo che l'utente non abbia più accesso ad essa e quindi non possa accedere al livello di privilegio 15.

  2. Impostare il livello di privilegio predefinito dell'utente al login sullo stesso livello di privilegio in cui sono stati modificati i comandi desiderati su cui l'utente può eseguire:

Router(config)#username joe privilege <x> password foobar

dove X è il livello di privilegio per il set di comandi desiderato.

EDIT: Devo sottolineare che questo in realtà non fornisce un'autorizzazione di comando basata sull'utente reale , fornisce solo un'autorizzazione basata sul livello di privilegio , perché i comandi stessi sono associati a un solo livello di privilegio alla volta, quindi è effettivamente una modifica a livello di router . È progettato per funzionare in modo gerarchico; ogni livello di privilegio può eseguire i comandi a quel livello e tutti i livelli sottostanti. Se si desidera un'autorizzazione basata sull'utente vero, è necessario un server AAA di qualche tipo (vedere la mia nota di seguito).

Tecnicamente potresti anche cambiare il livello di privilegio del enablecomando in modo che sia superiore a quello dell'utente in modo che non abbia nemmeno la possibilità di eseguirlo:

Router(config)#privilege exec level <x> enable

Ciò presuppone ovviamente che non si desidera che l'utente sia in grado di eseguire alcun comando di configurazione.

Un'altra opzione è assicurarsi che quando l'utente accede e digita enabledevono specificare il proprio livello di privilegio piuttosto che nessun livello di privilegio, il cui valore predefinito è 15.

Router>enable <x>

Ovviamente puoi specificare abilitare le password per tutti e 16 i livelli di privilegio, se lo desideri.

Il mio ultimo punto è che senza un server AAA esterno, tutto questo è un dolore enorme nel culo. Ci sono moltissime implementazioni TACACS + open source disponibili che hanno solo un costo di installazione iniziale, ma rendono le cose come queste piuttosto banali, ed è centralizzato, quindi se hai più router non devi continuare a ripetere lo stesso comando privilegio jumprope su ogni dispositivo che gestisci. Questo è il motivo per cui i server AAA esistono in primo luogo, quindi il requisito che non si desidera utilizzare uno non ha molto senso.

John Jensen
fonte
-5

La limitazione dei comandi può essere eseguita in Cisco ACS se si configura il dispositivo per l'utilizzo di TACACS per AAA.

Bill Karn
fonte
Ti preghiamo di considerare di aggiungere ulteriori informazioni a questa risposta.
Teun Vink
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.