Возникают ситуации, когда требуется разрешить доступ сторонним администраторам или подрядчикам или просто разграничить права между администраторами сетевых железок. У Cisco имеется механизм разграничения прав. Попробую рассказать на коротком примере.
Пример следующий: Внешнему пользователю требуется на некоторых портах коммутатора сменить voice vlan и сохранить данную конфигурацию.
Какие действия потребуются в таком случае от администратора железки?
Для начала создаем пользователя с ограниченными правами, в примере даем имя пользователя user и пароль 123456:
switch(config)# username user privilege 3 password 0 123456
затем задаем пароль password для привилегированного режима 3 уровня (по умолчанию привилегированный режим имеет 15 уровень, на 15 уровне доступны все команды):
switch(config)# enable secret level 3 password
После этого нам потребуется определить список команд, который потребуется для осуществления поставленной задачи и разрешить эти команды на 3 уровне привилегий.
Команды которые потребуются в режиме консоли:
- Переход к режиму конфигурации
- Просмотр текущей конфигурации
- Сохранение изменений в конфигурации
switch(config)# privilege exec level 3 configure terminal switch(config)# privilege exec level 3 show running-config switch(config)# privilege exec level 3 write memory
Из конфигурационного режима требуется разрешение на команду перехода к настройке интерфейса:
switch(config)# privilege configure level 3 interface
и наконец из режима конфигурации интерфейса потребуются команды на отключение интерфейса и смену voice VLAN:
switch(config)# privilege interface level 3 shutdown switch(config)# privilege interface level 3 switchport voice vlan
После этого сохраняем конфигурацию и делаем попытку авторизоваться под пользователем с ограниченными привилегиями:
Username: user Password: 123456 switch>enable 3 Password: password switch#
После входа должны быть доступны только объявленные команды.
Более подробная статья о разграничении прав есть на сайте Cisco.
С командой show run не работает, показывает урезанный конфиг, помогло только если добавить show conf, это стартап конфиг, но хоть что-то, лучше чем давать больше прав