Làm cách nào để hạn chế người dùng đối với một số lệnh nhất định trên Cisco IOS

8

Tôi cần đảm bảo rằng một người dùng nhất định trên bộ định tuyến IOS chỉ có thể nhập các lệnh cụ thể. Tôi đã có thể làm điều này với các cấp đặc quyền nhưng chúng bất cứ khi nào người dùng gõ "kích hoạt", anh ta sẽ quay lại cấp độ riêng tư 15 và sắp nhập tất cả các lệnh. Tôi muốn đảm bảo rằng ngay cả khi anh ấy nhập "enable", anh ấy vẫn sẽ chỉ có thể nhập các lệnh cụ thể mà tôi cho phép. Tôi cũng đã thử với cli dựa trên vai trò nhưng gặp vấn đề tương tự. Tôi không muốn sử dụng bất kỳ máy chủ xác thực bên ngoài.

Cảm ơn!

router  cisco-ios 
Harnik
nguồn
Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:

7

Bạn đã biết phần lớn câu trả lời cho câu hỏi của riêng bạn - bạn cần định cấu hình các lệnh mà người dùng có thể chạy ở cấp đặc quyền cụ thể. enablekhông có đối số cấp đặc quyền mặc định thành cấp 15 đặc quyền, có quyền chạy tất cả các lệnh. Hai điều bạn cần làm là:

  1. Thay đổi mật khẩu cho phép mặc định để người dùng không có quyền truy cập vào mật khẩu nữa và do đó không thể nhận được đặc quyền cấp 15.

  2. Đặt mức đặc quyền mặc định của người dùng khi đăng nhập thành cùng mức đặc quyền mà bạn đã thay đổi các lệnh mong muốn mà người dùng có thể chạy tại:

Router(config)#username joe privilege <x> password foobar

Trong đó X là mức đặc quyền cho tập lệnh bạn muốn.

EDIT: Tôi nên chỉ ra rằng điều này không thực sự cung cấp ủy quyền lệnh dựa trên người dùng thực sự , nó chỉ cung cấp ủy quyền dựa trên cấp đặc quyền, bởi vì bản thân các lệnh chỉ bị ràng buộc với một cấp đặc quyền tại một thời điểm, do đó, đây thực sự là một thay đổi trên toàn bộ định tuyến . Nó dự định làm việc theo kiểu phân cấp; mỗi cấp đặc quyền có thể chạy các lệnh ở cấp đó cũng như tất cả các cấp dưới nó. Nếu bạn muốn ủy quyền dựa trên người dùng thực sự, bạn cần một loại máy chủ AAA nào đó (xem ghi chú của tôi bên dưới).

Về mặt kỹ thuật, bạn cũng có thể thay đổi cấp đặc quyền của enablelệnh thành một cấp cao hơn cấp đặc quyền của người dùng để họ thậm chí không có tùy chọn chạy nó:

Router(config)#privilege exec level <x> enable

Tất nhiên, điều này giả định rằng bạn không muốn người dùng có thể chạy bất kỳ lệnh cấu hình nào.

Một tùy chọn khác là đảm bảo rằng khi người dùng đăng nhập và nhập, enablehọ cần chỉ định cấp đặc quyền thay vì không có cấp đặc quyền, mặc định là 15.

Router>enable <x>

Rõ ràng bạn có thể chỉ định kích hoạt mật khẩu cho tất cả 16 cấp đặc quyền nếu bạn mong muốn.

Điểm cuối cùng của tôi là không có máy chủ AAA bên ngoài, tất cả những điều này là một nỗi đau lớn ở mông. Có vô số triển khai TACACS + mã nguồn mở chỉ có chi phí thiết lập ban đầu, nhưng chúng tạo ra những thứ như thế này hơi tầm thường và nó tập trung, vì vậy nếu bạn có nhiều bộ định tuyến, bạn không phải lặp lại cùng một lệnh jumprope đặc quyền trên mọi thiết bị bạn quản lý. Đây là lý do tại sao máy chủ AAA tồn tại ở nơi đầu tiên, do đó, yêu cầu của bạn là bạn không muốn sử dụng máy chủ không có ý nghĩa nhiều.

John Jensen
nguồn
-5

Việc hạn chế các lệnh có thể được thực hiện trong Cisco ACS nếu bạn định cấu hình thiết bị để sử dụng TACACS cho AAA.

Bill Karn
nguồn
Vui lòng xem xét thêm thông tin cho câu trả lời này.
Teun Vink
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.