Вы здесь

Делегирование прав доступа к консоли или Role-Based Access Control (RBAC)

Обычно, когда мы подключаемся к консоли маршрутизатора или коммутатора Cisco мы попадаем в так называемый режим доступа User mode. В этом режиме доступа можно выполнять лишь сильно ограниченный ряд команд. Для того, чтобы попасть в режим администрирования (Privileged mode), мы вводим команду enable. В результате пользователь получает права на выполнение любых команд. Иногда возникают ситуации, когда определенным лицам необходимо дать права на выполнение некоторых команд, - для этого мы можем использовать либо Custom Privilege levels либо Creating Parser Views.

Custom Privilege levels

Вообще существует несколько уровней привилигий (privilege levels).
По умолчанию используются два из них:
Самый низкий - privilege level 1 - это собственно User mode
Самый высокий - privilege level 15 - уровень администратора или Privileged mode

Создавая custom privilege level мы можем разрешить выполнение определенных команд на этом уровне.
Рассмотрим ситуацию, когда необходимо кому-то разрешить только смену IP адреса:

enable secret level 8 0 NewPa5s123&
enable secret zse4

privilege interface level 8 ip address
privilege interface level 8 ip
privilege configure level 8 interface
privilege exec level 8 configure terminal
privilege exec level 8 configure

line vty 0 4
access-class 23
exec-timeout 0 0
password 1357
login

Как видно, мы создали дополнительный восьмой уровень.
Теперь, для того чтобы поменять IP адрес необходимо подключится через SSH или telnet, ввести пароль 1357 (попадем в USer mode).
Затем мы вводим команду:
enable 8
И вводим пароль для enable secret level 8.
На этом уровне нам будет доступно только смена IP адреса.

Те же функции можно обеспечить и для login authentication, т.е. с использованием имени пользователя и пароля:
line vty 0 4
login local

username bob privilege 8 secret dksfbkfb
username admin privilege 15 secret dksfbkfb

Теперь при подключении система будет запрашивать логин и пароль. При вводе пользователь будет автоматически попадать в присвоенный ему уровень доступа.

Настройка Parser View

Parser View можно сравнить с ролями. Мы можем создавать несколько ролей и ассоциировать с ними группы команд. Пользователь может выполнять только команды, ассоциированные с его ролью.
Рассмотрим пример разрешения пользователю просматривать конфигурацию и править Access-lists
router(config)#enable secret mypass

Router#enable view
Password:

Где пароль есть enable password

parser view ACL
secret 5 $1$1KU6$LVXykpW58UV.nCF1e2v6q1
commands configure include terminal-queue
commands configure include ip access-list extended
commands configure include ip
commands configure include no terminal-queue
commands configure include all no ip access-list extended
commands configure include no ip
commands configure include no
commands exec include all ping ip
commands exec include ping
commands exec include configure terminal
commands exec include configure
commands exec include all show

router(config)#username alex view ACL password alexpass
username admin privilege 15 secret dksfbkfb

В этом случае пользователь будет заходить следующим образом:
Тогда юзер будет заходить следующим образом:

User Access Verification
Username: alex
Password:

router>enable view ACL
Password:

Использование сервера ACS

Для авторизации можно использовать сервер ACS, см. раздел Настройка авторизации через сервер ACS в статье Установка и настройка ACS 5

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image