Назначение привилегий для пользователей Cisco уже описывалось в статье Cisco privilege — Настройка привилегий пользователя CISCO. В статье говорилось, что пользователю назначается уровень привилегий, а для определенного уровня привилегий назначаются команды, которые можно выполнять. Такой подход разграничения прав не очень гибок. Что бы задействовать распределение прав по ролям можно воспользоваться возможностью «Role-Based CLI Access» или по другому называется «CLI Views».

Поддерживает ли ваш IOS «CLI Views» можно посмотреть в Cisco Feature Navigator. «Фича» (Feature) так и называется — CLI Views.

 

Основные понятия «Role-Based CLI Access»

В «Role-Based CLI Access» для разграничения прав используются элементы, которые называются «Views», они определяют какие команды можно выполнять в EXEC режиме или конфигурационном режиме (config), а так же, какая информация доступна для просмотра.

Эти элементы, по желанию, можно объединять в один большой элемент, который называется «Superview».

Администратор, который настраивает «View», а так же добавляет или удаляет «View» в «Superview», должен иметь роль «Root View». Отличие роли «Root View» от просто привилегированного 15-го режима в том, что «Root View» пользователь может конфигурировать новый «View», а так же удалять или добавлять в него команды.

Существуют специальные «View» для «законного перехвата», называются они «Lawful Intercept Views», которые предоставляют доступ к специфичным командам для настройки функции «Законного перехвата» (Lawful Intercept).  Применяется для взаимодействия с СОРМ — Система Оперативно Розыскных Мероприятий.

 

Настройка Cisco CLI Access

Перед настройкой Views необходимо активировать AAA (authentication, authorization, and accounting) командой «aaa new-model» в режиме глобального конфигурирования. После включения aaa new-model, не забываем, так же, указать нужные вам параметры для аутентификации (команда «aaa authentication …«), задать Enable пароль и если нужно завести локального пользователя, как это сделать написано в статье Маршрутизатор Cisco — начальная настройка. Иначе может возникнуть такая ситуация, что невозможно будет залогиниться на устройство.

 

Создание View:

1. Находясь в EXEC режиме, активировать «Root View» командой «enable view«. Запросит Enable пароль — его нужно задать ранее, знать и ввести. После чего вы окажитесь в «root view». Проверить можно командой «show parser view«, она должна вывести строку: «Current view is ‘root'»

2. Перейти в режим глобального конфигурирования, команда: «configure terminal«

3. Создать view и перейти в режим конфигурирования view, команда: «parser view view-name«

4. В режиме конфигурирования view задать пароль для данного view, команда: «secret 0 PasswordView«

5. В режиме конфигурирования view задать разрешенные команды для данного view, команда:

      «commands parser-mode {include | include-exclusive exclude} [all] [interface interface-name | command

        parser-mode — режим, в котором указанные команды вводятся.

        include — добавляет команду command или интерфейс interface-name  для данного view view-name

        include-exclusive — добавляет команду command или интерфейс interface-name для данного view view-name,  и исключает её из всех остальных view

        exclude исключает команду command или интерфейс interface-name из данного view view-name

        all — подразумевает все команды для заданного режима parser-mode

6. Выйти из режима редактирования view, команда «exit«

7. Выйти из глобального режима конфигурирования, команда «exit«

 

Для того, что бы перейти в созданный view и проверить, какие команды доступны из под него, можно выполнить команду:

   «enable view view-name » 

При нажатии на знак «?» будет выведен список доступных команд для данного view-name. Выйти из view можно командой «exit«

 

Если использовать локальную базу пользователей, то в режиме глобального конфигурирования можно создать пользователя, которому будет сопоставлен какой-либо из созданных view либо superview (включающий в себя несколько отдельных view).

  «username user view view-name secret 0 userpassword«

 

Что бы при авторизации через удаленный доступ (ssh или telnet) и консоль, пользователю были доступны только заданные нами команды в view, нужно в режиме глобального конфигурирования прописать:

 «aaa authorization console«

 «aaa authorization exec default local«

Это в случае использования локальной базы пользователей.

 

Пример конфигурации роутера с Cisco CLI View

В данном примере созданы два обычных view:

 NETVIEW — с возможностью просмотра IP информации,и информации о интерфейсах, а так же возможностью пинга и трэйсроута. Без возможности входа в конфигурационный режим.

 NETCONF — с возможностью входа в конфигурационный режим и настройки сетевых интерфейсов.

И один superview:

 NETADMIN — включает в себя два view NETVIEW и NETCONF

Одному пользователю netviewuser сопоставлен NETVIEW, он имеет права только на просмотр сетевых интерфейсов и IP параметров, а так же пинг и трэйс роут

Второму пользователю netadminuser сопоставлен superview NETADMIN, следовательно, он имеет право на настройку и просмотр IP параметров и сетевых интерфейсов

Кнфиг:

R1#sh run
Building configuration...
Current configuration : 1916 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$q29g$wf3TG0xJ0tCoVlMyKSdRv.
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization console
aaa authorization exec default local
!
aaa session-id common
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
ip domain name test.ru
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username cisco privilege 15 secret 5 $1$qpG3$dhNhCpnGuvc1vOukmJPKu1
username netadminuser view NETADMIN secret 5 $1$RC5G$OBi01pKHwxVF/jp6vWPE1.
username netviewuser view NETVIEW secret 5 $1$H1ml$icSJc3PCI1FzU1G/kQUSX0
!
!
ip tcp synwait-time 5
ip ssh version 2
!
!
!
!
!
interface FastEthernet0/0
  ip address 192.168.0.57 255.255.255.0
  duplex auto
  speed auto
!
interface FastEthernet0/1
  no ip address
  shutdown
  duplex auto
  speed auto
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
!
!
!
control-plane
!
!
!
!
mgcp behavior g729-variants static-pt
!
!
!
!
!
!
line con 0
  exec-timeout 0 0
  logging synchronous
line aux 0
  exec-timeout 0 0
  logging synchronous
line vty 0 3
  transport input telnet ssh
line vty 4
  transport input telnet ssh
parser view NETVIEW
  secret 5 $1$AHgE$UPgUYrxyE2R6gCD3Z9ZMD/
  commands exec include all traceroute
  commands exec include all ping
  commands exec include all show ip
  commands exec include all show interfaces
  commands exec include show
!
parser view NETCONF
  secret 5 $1$VuwT$PGKj3/pDkV6Bc6EbY1L.k1
  commands configure include all interface
  commands configure include all ip
  commands exec include configure terminal
  commands exec include configure
!
parser view NETADMIN superview
  secret 5 $1$kLY.$018nFbornMjAGInv7o4Ge1
  view NETVIEW
  view NETCONF
!
!
!
end

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *