Разграничение прав пользователей на коммутаторах Cisco

Возникают ситуации, когда требуется разрешить доступ сторонним администраторам или подрядчикам или просто разграничить права между администраторами сетевых железок. У Cisco имеется механизм разграничения прав. Попробую рассказать на коротком примере.

Пример следующий: Внешнему пользователю требуется на некоторых портах коммутатора сменить voice vlan и сохранить данную конфигурацию.

Какие действия потребуются в таком случае от администратора железки?

Для начала создаем пользователя с ограниченными правами, в примере даем имя пользователя user и пароль 123456:

switch(config)# username user privilege 3 password 0 123456

затем задаем пароль password для привилегированного режима 3 уровня (по умолчанию привилегированный режим имеет 15 уровень, на 15 уровне доступны все команды):

switch(config)# enable secret level 3 password

После этого нам потребуется определить список команд, который потребуется для осуществления поставленной задачи и разрешить эти команды на 3 уровне привилегий.




Команды которые потребуются в режиме консоли:

  1. Переход к режиму конфигурации
  2. Просмотр текущей конфигурации
  3. Сохранение изменений в конфигурации
switch(config)# privilege exec level 3 configure terminal
switch(config)# privilege exec level 3 show running-config
switch(config)# privilege exec level 3 write memory

Из конфигурационного режима требуется разрешение на команду перехода к настройке интерфейса:

switch(config)# privilege configure level 3 interface

и наконец из режима конфигурации интерфейса потребуются команды на отключение интерфейса и смену voice VLAN:

switch(config)# privilege interface level 3 shutdown
switch(config)# privilege interface level 3 switchport voice vlan

После этого сохраняем конфигурацию и делаем попытку авторизоваться под пользователем с ограниченными привилегиями:

Username: user
Password: 123456

switch>enable 3
Password: password
switch#

После входа должны быть доступны только объявленные команды.

Более подробная статья о разграничении прав есть на сайте Cisco.

Разграничение прав пользователей на коммутаторах Cisco: 1 комментарий

  1. С командой show run не работает, показывает урезанный конфиг, помогло только если добавить show conf, это стартап конфиг, но хоть что-то, лучше чем давать больше прав

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *