Inleiding
Dit document beschrijft het configuratieproces om de volledige actieve configuratie voor gebruikers met lage rechten weer te geven.
Voorwaarden
Vereisten
Om dit document te kunnen begrijpen, is een basiskennis van Cisco-prioriteitsniveaus vereist. De achtergrondinformatie is voldoende om het inzicht in de vereiste prioriteitsniveaus te verklaren.
Gebruikte componenten
De componenten die gebruikt zijn voor de configuratievoorbeelden in dit document waren een ASR 1006, maar elk Cisco IOS® of Cisco IOS XE-apparaat werkt op dezelfde manier.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Dit document beschrijft de configuratiestappen hoe u de volledige actieve configuratie kunt weergeven voor gebruikers die zijn aangemeld bij de router met lage prioriteitsniveaus. Om het volgende probleem en de tijdelijke oplossing te begrijpen is het noodzakelijk om voorrangsniveaus te begrijpen. De beschikbare rechten variëren van 0 tot 15 en stellen de beheerder in staat om aan te passen welke opdrachten beschikbaar zijn op welk voorrecht niveau. Standaard zijn de drie prioriteitsniveaus op een router:
- Niveau 0 - bevat alleen basisopdrachten (uitschakelen, in- en uitschakelen, afsluiten, help en uitloggen)
- Niveau 1 - Omvat alle opdrachten die beschikbaar zijn in de opdrachtmodus User EXEC
- Niveau 15 - Omvat alle opdrachten die beschikbaar zijn in de opdrachtmodus Privileged EXEC
De resterende niveaus tussen deze minimum- en maximumniveaus zijn niet gedefinieerd tot de beheerder er opdrachten en/of gebruikers aan toewijst. Daarom kan de beheerder de gebruikers verschillende voorrechten tussen deze minimum en maximum voorrechten niveaus toewijzen om te scheiden wat verschillende gebruikers toegang hebben tot. De beheerder kan vervolgens afzonderlijke opdrachten (en diverse andere opties) toewijzen aan een individueel prioriteitsniveau om dit op dit niveau beschikbaar te maken voor elke gebruiker. Voorbeeld:
Router(config)# username user1 privilege 7 password P@ssw0rD1
Router(config)# privilege exec level 7 show access-lists
Met deze configuratie, wanneer user1 verbonden met de router zij zouden kunnen lopen show access-lists commando, en/of iets anders dat op dat voorrangsniveau is ingeschakeld. Hetzelfde kan echter niet worden gezegd voor de show running-config bevel, zoals later in de probleemverklaring wordt besproken.
Configuratieprobleem
Bij het configureren van verschillende toegangsniveaus naar de router voor verschillende gebruikers, is het een veelvoorkomende toepassing voor een netwerkbeheerder om te proberen bepaalde gebruikers toe te wijzen om alleen toegang te hebben tot show opdrachten en geen toegang tot enige andere configuration opdrachten. Dit is een eenvoudige taak voor de meeste show opdrachten, aangezien u toegang kunt verlenen via een eenvoudige configuratie zoals in dit geval:
Router(config)# username test_user privilege 10 password testP@ssw0rD
Router(config)# privilege exec level 10 show
Router(config)# privilege exec level 10 show running-config
Met deze voorbeeldconfiguratie kan de tweede lijn de test_user om toegang te hebben tot een overvloed aan show gerelateerde commando's, die normaal gesproken niet beschikbaar zijn op dit voorrecht niveau. De show running-config Het bevel wordt verschillend behandeld aan de meeste showbevelen. Zelfs met de derde lijn van voorbeeldcode, alleen een weggelaten/afgekort show running-config wordt weergegeven voor de gebruiker ondanks dat de opdracht op het juiste prioriteitsniveau is gespecificeerd.
User Access Verification
Username: test_user
Password:
Router#
Router#show privilege
Current privilege level is 10
Router#
Router#show running-config
Building configuration...
Current configuration : 121 bytes
!
! Last configuration change at 21:10:08 UTC Mon Aug 28 2017
!
boot-start-marker
boot-end-marker
!
!
!
end
Router#
Aangezien u kunt zien deze output geen configuratie toont, en zou niet aan een gebruiker nuttig zijn die informatie over de configuratie van de router probeert te verzamelen. Dit komt doordat de show running-config Het bevel toont alle bevelen die de gebruiker op hun huidig voorrecht niveau kan wijzigen. Dit is ontworpen als een beveiligingsconfiguratie om te voorkomen dat de gebruiker toegang heeft tot opdrachten die eerder zijn geconfigureerd vanaf hun huidige prioriteitsniveau. Dit is een probleem bij het maken van een gebruiker met toegang tot showopdrachten, zoals show running-config is een standaardopdracht die ingenieurs kunnen verzamelen wanneer ze problemen oplossen.
Configuratieoplossing en verificatie
Als oplossing voor dit dilemma is er een andere versie van de traditionele show run bevel dat deze beperking van het bevel mist.
Router(config)# show running-config view full
Router(config)# privilege exec level 10 show running-config view full
De toevoeging van view full de opdracht (en vervolgens het voorrecht van de opdracht om de gebruiker toegang tot de opdracht te geven), stelt de gebruiker nu in staat het volledige show running-config zonder weggelaten opdrachten.
Username: test_user
Password:
Router#
Router#show privilege
Current privilege level is 10
Router#
Router#show running-config view full
Building configuration...
Current configuration : 2664 bytes
!
! Last configuration change at 21:25:45 UTC Mon Aug 28 2017
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no platform punt-keepalive disable-kernel-core
!
hostname Router
!
boot-start-marker
boot system flash bootflash:packages.conf
boot system flash bootflash:asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin
boot-end-marker
!
vrf definition Mgmt-intf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!
enable password <omitted>
!
no aaa new-model
!
no ip domain lookup
!
subscriber templating
!
multilink bundle-name authenticated
!
spanning-tree extend system-id
!
username test_user privilege 10 password 0 testP@ssw0rD
!
redundancy
mode sso
!
cdp run
!
interface GigabitEthernet0/2/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet0/2/1
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet0
vrf forwarding Mgmt-intf
ip address <omitted>
negotiation auto
cdp enable
!
ip forward-protocol nd
!
control-plane
!
!
privilege exec level 10 show running-config view full
alias exec show-running-config show running-config view full
!
line con 0
stopbits 1
line aux 0
exec-timeout 0 1
no exec
transport output none
stopbits 1
line vty 0 4
login local
!
end
Router#
Maar dit leidt dan tot de vraag, door de gebruiker toegang te verlenen tot deze versie van het bevel, leidt dit niet tot het initiële veiligheidsrisico dat probeerde te worden opgelost door het ontwerpen van een weggelaten versie?
Als tijdelijke oplossing en om de consistentie in een beveiligd netwerkontwerp te waarborgen, kunt u een alias maken voor de gebruiker die de volledige versie van de show running-config commando zonder de gebruiker toegang/kennis te verschaffen, zoals hier wordt getoond:
Router(config)# alias exec show-running-config show running-config view full
In dit voorbeeld show running-config is de aliasnaam, en wanneer de gebruiker is ingelogd op de router, kunnen ze vervolgens deze aliasnaam invoeren in plaats van de opdracht en de verwachte uitvoer ontvangen zonder kennis van de eigenlijke opdracht die wordt uitgevoerd.
Opmerking: vanaf 16.X-versie, afhankelijk van het platform, is het ook nodig om toegang toe te voegen aan de bestanden met behulp van de opdracht (config)#file privilege <level>.
Conclusie
Samenvattend, dit is slechts één voorbeeld van hoe je meer controle kunt hebben wanneer je administratief op verschillende niveaus gebruikersrechten creëert. Er zijn een overvloed aan opties om verschillende voorrechten niveaus en toegang tot verschillende opdrachten te creëren, en dit is een voorbeeld van hoe te verzekeren een show alleen gebruiker nog toegang heeft tot de volledige lopende configuratie wanneer ze geen toegang tot enige configuratie commando's hebben.
Gerelateerde informatie
Feedback