Назначение привилегий для пользователей Cisco уже описывалось в статье Cisco privilege — Настройка привилегий пользователя CISCO. В статье говорилось, что пользователю назначается уровень привилегий, а для определенного уровня привилегий назначаются команды, которые можно выполнять. Такой подход разграничения прав не очень гибок. Что бы задействовать распределение прав по ролям можно воспользоваться возможностью «Role-Based CLI Access» или по другому называется «CLI Views».
Поддерживает ли ваш IOS «CLI Views» можно посмотреть в Cisco Feature Navigator. «Фича» (Feature) так и называется — CLI Views.
Основные понятия «Role-Based CLI Access»
В «Role-Based CLI Access» для разграничения прав используются элементы, которые называются «Views», они определяют какие команды можно выполнять в EXEC режиме или конфигурационном режиме (config), а так же, какая информация доступна для просмотра.
Эти элементы, по желанию, можно объединять в один большой элемент, который называется «Superview».
Администратор, который настраивает «View», а так же добавляет или удаляет «View» в «Superview», должен иметь роль «Root View». Отличие роли «Root View» от просто привилегированного 15-го режима в том, что «Root View» пользователь может конфигурировать новый «View», а так же удалять или добавлять в него команды.
Существуют специальные «View» для «законного перехвата», называются они «Lawful Intercept Views», которые предоставляют доступ к специфичным командам для настройки функции «Законного перехвата» (Lawful Intercept). Применяется для взаимодействия с СОРМ — Система Оперативно Розыскных Мероприятий.
Настройка Cisco CLI Access
Перед настройкой Views необходимо активировать AAA (authentication, authorization, and accounting) командой «aaa new-model» в режиме глобального конфигурирования. После включения aaa new-model, не забываем, так же, указать нужные вам параметры для аутентификации (команда «aaa authentication …«), задать Enable пароль и если нужно завести локального пользователя, как это сделать написано в статье Маршрутизатор Cisco — начальная настройка. Иначе может возникнуть такая ситуация, что невозможно будет залогиниться на устройство.
Создание View:
1. Находясь в EXEC режиме, активировать «Root View» командой «enable view«. Запросит Enable пароль — его нужно задать ранее, знать и ввести. После чего вы окажитесь в «root view». Проверить можно командой «show parser view«, она должна вывести строку: «Current view is ‘root'»
2. Перейти в режим глобального конфигурирования, команда: «configure terminal«
3. Создать view и перейти в режим конфигурирования view, команда: «parser view view-name«
4. В режиме конфигурирования view задать пароль для данного view, команда: «secret 0 PasswordView«
5. В режиме конфигурирования view задать разрешенные команды для данного view, команда:
«commands parser-mode {include | include-exclusive | exclude} [all] [interface interface-name | command]»
parser-mode — режим, в котором указанные команды вводятся.
include — добавляет команду command или интерфейс interface-name для данного view view-name
include-exclusive — добавляет команду command или интерфейс interface-name для данного view view-name, и исключает её из всех остальных view
exclude — исключает команду command или интерфейс interface-name из данного view view-name
all — подразумевает все команды для заданного режима parser-mode
6. Выйти из режима редактирования view, команда «exit«
7. Выйти из глобального режима конфигурирования, команда «exit«
Для того, что бы перейти в созданный view и проверить, какие команды доступны из под него, можно выполнить команду:
«enable view view-name »
При нажатии на знак «?» будет выведен список доступных команд для данного view-name. Выйти из view можно командой «exit«
Если использовать локальную базу пользователей, то в режиме глобального конфигурирования можно создать пользователя, которому будет сопоставлен какой-либо из созданных view либо superview (включающий в себя несколько отдельных view).
«username user view view-name secret 0 userpassword«
Что бы при авторизации через удаленный доступ (ssh или telnet) и консоль, пользователю были доступны только заданные нами команды в view, нужно в режиме глобального конфигурирования прописать:
«aaa authorization console«
«aaa authorization exec default local«
Это в случае использования локальной базы пользователей.
Пример конфигурации роутера с Cisco CLI View
В данном примере созданы два обычных view:
NETVIEW — с возможностью просмотра IP информации,и информации о интерфейсах, а так же возможностью пинга и трэйсроута. Без возможности входа в конфигурационный режим.
NETCONF — с возможностью входа в конфигурационный режим и настройки сетевых интерфейсов.
И один superview:
NETADMIN — включает в себя два view NETVIEW и NETCONF
Одному пользователю netviewuser сопоставлен NETVIEW, он имеет права только на просмотр сетевых интерфейсов и IP параметров, а так же пинг и трэйс роут
Второму пользователю netadminuser сопоставлен superview NETADMIN, следовательно, он имеет право на настройку и просмотр IP параметров и сетевых интерфейсов
Кнфиг:
R1#sh run
Building configuration...
Current configuration : 1916 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$q29g$wf3TG0xJ0tCoVlMyKSdRv.
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization console
aaa authorization exec default local
!
aaa session-id common
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
ip domain name test.ru
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username cisco privilege 15 secret 5 $1$qpG3$dhNhCpnGuvc1vOukmJPKu1
username netadminuser view NETADMIN secret 5 $1$RC5G$OBi01pKHwxVF/jp6vWPE1.
username netviewuser view NETVIEW secret 5 $1$H1ml$icSJc3PCI1FzU1G/kQUSX0
!
!
ip tcp synwait-time 5
ip ssh version 2
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.0.57 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
!
!
!
control-plane
!
!
!
!
mgcp behavior g729-variants static-pt
!
!
!
!
!
!
line con 0
exec-timeout 0 0
logging synchronous
line aux 0
exec-timeout 0 0
logging synchronous
line vty 0 3
transport input telnet ssh
line vty 4
transport input telnet ssh
parser view NETVIEW
secret 5 $1$AHgE$UPgUYrxyE2R6gCD3Z9ZMD/
commands exec include all traceroute
commands exec include all ping
commands exec include all show ip
commands exec include all show interfaces
commands exec include show
!
parser view NETCONF
secret 5 $1$VuwT$PGKj3/pDkV6Bc6EbY1L.k1
commands configure include all interface
commands configure include all ip
commands exec include configure terminal
commands exec include configure
!
parser view NETADMIN superview
secret 5 $1$kLY.$018nFbornMjAGInv7o4Ge1
view NETVIEW
view NETCONF
!
!
!
end
Добавить комментарий