Guía de configuración de la Seguridad de Cisco IOS: Sujeción de los servicios de usuario, versión 12.2SR
Acceso CLI Basado en Función
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 226 KB | Inglés (30 Marzo 2011) | Comentarios

Contenidos

Acceso CLI Basado en Función

Encontrar la información de la característica

Contenido

Requisitos previos para el acceso basado en Role CLI

Restricciones para el acceso basado en Role CLI

Información sobre el acceso basado en Role CLI

Ventajas de usar las opiniones CLI

Opinión de la raíz

Sobre las opiniones de la interrupción permitida

Sobre Superviews

Autenticación de la visión vía un nuevo atributo AAA

Cómo utilizar el acceso basado en Role CLI

Configurar una opinión CLI

Prerrequisitos

Consejos de Troubleshooting

Configurar una opinión de la interrupción permitida

Prerrequisitos

Restricciones

Consejos de Troubleshooting

Configurar un Superview

Prerrequisitos

Restricciones

Monitorear las opiniónes y a los usuarios de la visión

Ejemplos de configuración para el acceso basado en Role CLI

Ejemplo: Configurar una opinión CLI

Ejemplo: Verificar una opinión CLI

Ejemplo: Configurar una opinión de la interrupción permitida

Ejemplo: Configurar un Superview

Referencias adicionales

Documentos Relacionados

MIB

Asistencia Técnica

Información de la característica para el acceso basado en Role CLI


Acceso CLI Basado en Función


Primera publicación: De febrero el 24 de 2004
Última actualización: De marzo el 30 de 2011

La característica de acceso basado en Role CLI permite que el administrador de la red defina las “opiniónes,” que son un conjunto de los comandos de funcionamiento y de las capacidades de la configuración que proporcionan el acceso selectivo o parcial al EXEC del Cisco IOS y a los comandos modes de la configuración (config). Las opiniónes restringen el acceso del usuario al Cisco IOS comando line interface(cli) y información de la configuración; es decir, una visión puede definir se validan qué comandos y qué información de la configuración es visible. Así, los administradores de la red pueden efectuar un mejor control sobre el acceso a los dispositivos de interconexión de redes de Cisco.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección del acceso basado en Role CLI”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Contenido

Requisitos previos para el acceso basado en Role CLI

Restricciones para el acceso basado en Role CLI

Información sobre el acceso basado en Role CLI

Cómo utilizar el acceso basado en Role CLI

Ejemplos de configuración para el acceso basado en Role CLI

Referencias adicionales

Información de la característica para el acceso basado en Role CLI

Requisitos previos para el acceso basado en Role CLI

Su imagen debe soportar las opiniones CLI.

Restricciones para el acceso basado en Role CLI

Limitación de las imágenes de la interrupción permitida

Porque las opiniones CLI son una parte del analizador de sintaxis del Cisco IOS, las opiniones CLI son una parte de todas las Plataformas y imágenes del Cisco IOS. Sin embargo, la opinión de la interrupción permitida está disponible solamente en las imágenes que contienen el subsistema de la interrupción permitida.

Número máximo de visiónes permitidas

El número máximo de opiniones y de superviews CLI, incluyendo una opinión de la interrupción permitida, que puede ser configurada es 15. (Esto no incluye la opinión de la raíz.)

Información sobre el acceso basado en Role CLI

Ventajas de usar las opiniones CLI

Opinión de la raíz

Sobre las opiniones de la interrupción permitida

Sobre Superviews

Autenticación de la visión vía un nuevo atributo AAA

Ventajas de usar las opiniones CLI

Opiniónes: Control de acceso detallado

Aunque los usuarios puedan controlar el acceso CLI vía ambos niveles de privilegio y contraseñas del enable mode, estas funciones no proporcionan a los administradores de la red con el nivel de detalle necesario necesario al trabajar con el Routers y el Switches del Cisco IOS. Las opiniones CLI proporcionan una capacidad más detallada del control de acceso para los administradores de la red, de tal modo, mejorando la seguridad general y la responsabilidad del Cisco IOS Software.

A partir del Cisco IOS Release 12.3(11)T, los administradores de la red pueden también especificar una interfaz o un grupo de interfaces a una visión; de tal modo, permitiendo el acceso en base de las interfaces especificadas.

Opinión de la raíz

Cuando un sistema está en la “opinión de la raíz,” tiene todos los privilegios de acceso como usuario que tenga privilegios del nivel 15. Si el administrador desea configurar cualquier visión al sistema (tal como una opinión CLI, un superview, o una opinión de la interrupción permitida), el sistema debe estar en la opinión de la raíz.

La diferencia entre un usuario que tenga los privilegios del nivel 15 y un usuario de la opinión de la raíz es que un usuario de la opinión de la raíz puede configurar una nueva visión y agregar o los comandos remove desde la visión. También, cuando usted está en una opinión CLI, usted tiene acceso solamente a los comandos que han sido agregados a esa visión por el usuario de la opinión de la raíz.

Sobre las opiniones de la interrupción permitida

Como una opinión CLI, una opinión de la interrupción permitida restringe el acceso a los comandos y a la información de la configuración especificados. Específicamente, una opinión de la interrupción permitida permite a un usuario al acceso seguro a los comandos de la interrupción permitida que se llevan a cabo dentro del TAP-MIB, que es un conjunto especial de Simple Network Management Protocol (SNMP) ordena que información del almacén sobre las llamadas y los usuarios.

Los comandos disponibles en la opinión de la interrupción permitida pertenecen a una de las estas categorías:

Comandos de la interrupción permitida que no se deben poner a disposición ninguna otra visión o nivel de privilegio

Las opiniones CLI que son útiles para los usuarios de la interrupción permitida pero no tienen que ser excluidas de otras opiniónes o niveles de privilegio

Sobre Superviews

Un superview consiste en una o más opiniones CLI, que permiten que los usuarios definan se validan qué comandos y qué información de la configuración es visible. Superviews permite que un administrador de la red asigne fácilmente a todos los usuarios dentro de las opiniones configuradas CLI a un superview en vez de tener que asignar las opiniones múltiples CLI a un grupo de usuarios.

Superviews contiene estas características:

Una opinión CLI se puede compartir entre los superviews múltiples.

Los comandos no se pueden configurar para un superview; es decir, usted debe los comandos add a la opinión CLI y agregar que opinión CLI al superview.

Los usuarios que se registran en un superview pueden acceder todos los comandos que se configuren para las opiniones unas de los CLI que son parte del superview.

Cada superview tiene una contraseña que se utilice para conmutar entre los superviews o de una opinión CLI a un superview.

Si se borra un superview, todas las opiniones CLI asociadas a ese superview no serán borradas también.

Autenticación de la visión vía un nuevo atributo AAA

La autenticación de la visión es realizada por una autenticación externa, una autorización, y un servidor de las estadísticas (AAA) vía el nuevo atributo el “CLI-vista-nombre.”

La autenticación AAA asocia solamente un nombre a visualizar a un usuario determinado; es decir, solamente un nombre a visualizar se puede configurar para un usuario en un servidor de autenticación.

Cómo utilizar el acceso basado en Role CLI

Configurando una opinión CLI (requerida)

Configurando una opinión de la interrupción permitida (opcional)

Configurando un Superview (opcional)

Monitoreando las opiniónes y a los usuarios de la visión (opcionales)

Configurar una opinión CLI

Realice esta tarea de crear una opinión CLI y los comandos add o las interfaces a la visión, como apropiado.

Prerrequisitos

Antes de que usted cree una visión, usted debe realizar las tareas siguientes:

Permiso AAA vía aaa new-model el comando.

Asegúrese de que su sistema esté en la opinión de la raíz — no el nivel de privilegio 15.

PASOS SUMARIOS

1. enable view

2. configure terminal

3. parser view view-name

4. secret 5 encrypted-password

5.commands parser-mode {include | include-exclusive | exclude} []all del []interfaceinterface-name | command

6. exit

7. exit

8.enable []privilege-leveldel []view view-name

9.show parser view[]all

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable view

Example:

Router> enable view

Opinión de la raíz de los permisos.

Ingrese su contraseña del nivel de privilegio 15 (por ejemplo, contraseña de raíz) si está indicado.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

parser view view-name

Example:

Router(config)# parser view first

Crea una visión y ingresa al modo de configuración de la visión.

Paso 4 

secret 5 encrypted-password

Example:

Router(config-view)# secret 5 secret

Asocia una opinión o un superview del comando line interface(cli) a una contraseña.

Notausted debe publicar este comando antes de que usted pueda configurar los atributos adicionales para la visión.

Paso 5 

commands parser-mode {include | include-exclusive | exclude} [all] [interface interface-name | command]

Example:

Router(config-view)# commands exec include show version

Agrega los comandos o las interfaces a una visión.

parser-mode — El modo en el cual el comando especificado existe.

include — Agrega un comando o una interfaz a la visión y permite que el mismo comando o interfaz sea agregado a una visión adicional.

include-exclusive — Agrega un comando o una interfaz a la visión y excluye el mismo comando o interfaz de ser agregado a todo el otro las opiniónes.

exclude — Excluye un comando o una interfaz de la visión; es decir, los clientes no pueden acceder un comando o una interfaz.

all — Un “comodín” que permite cada comando en un modo de configuración especificado que comience con la misma palabra clave o cada subinterfaz para que una interfaz especificada sea parte de la visión.

interface interface-name — Interconecte que se agrega a la visión.

command — Ordene que se agrega a la visión.

Paso 6 

exit

Example:

Router(config-view)# exit

Modo de configuración de la opinión de las salidas.

Paso 7 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 8 

enable [privilege-level] [view view-name]

Example:

Router# enable view first

Indica al usuario para una contraseña, que permite que el usuario acceda una opinión configurada CLI, y se utiliza para conmutar a partir de una visión a otra visión.

Después de que se dé la contraseña correcta, el usuario puede acceder la visión.

Paso 9 

show parser view [all]

Example:

Router# show parser view

(Opcional) visualiza la información sobre la visión que el usuario está actualmente adentro.

all — Información de las visualizaciones para todos opiniónes que se configuran en el router.

Observeaunque este comando está disponible para los usuarios de la raíz y de la interrupción permitida, all la palabra clave está disponible solamente para los usuarios raíz. Sin embargo, all la palabra clave se puede configurar por un usuario en la opinión de la raíz para estar disponible para los usuarios en la opinión de la interrupción permitida y la opinión CLI.

Consejos de Troubleshooting

Después de que usted haya creado con éxito una visión, un mensaje del sistema tal como el siguiente se visualiza:

%PARSER-6-VIEW_CREATED: view `first' successfully created.

Después de que usted haya borrado con éxito una visión, un mensaje del sistema tal como el siguiente se visualiza:

%PARSER-6-VIEW_DELETED: vea “borrado primero” con éxito.


Usted debe asociar una contraseña a una visión. Si usted no asocia una contraseña, y usted intenta a los comandos add a la visión vía commands el comando, un mensaje del sistema tal como el siguiente será visualizado:

%Password not set for view <viewname>.

Configurar una opinión de la interrupción permitida

Realice esta tarea de inicializar y de configurar una visión para los comandos y la información de la configuración legal-interceptación-específicos.

Prerrequisitos

Antes de que usted inicialice una opinión de la interrupción permitida, asegúrese de que el nivel de privilegio esté fijado a 15 vía privilege el comando.

Restricciones

Solamente un administrador o un usuario que tiene privilegios del nivel 15 puede inicializar una opinión de la interrupción permitida.

PASOS SUMARIOS

1. enable view

2. configure terminal

3.li-view li-password contraseña del usuariousername password

4.username[]lawful-intercept name [privilege privilege-level | view view-name] password password

5. parser view view-name

6. secret 5 encrypted-password

7. name new-name

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable view

Example:

Router> enable view

Opinión de la raíz de los permisos.

Ingrese su contraseña del nivel de privilegio 15 (por ejemplo, contraseña de raíz) si está indicado.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

li-view li-password user username password password

Example:

Router(config)# li-view lipass user li_admin password li_adminpass

Inicializa una opinión de la interrupción permitida.

Después de que se inicialice la li-vista, usted debe especificar por lo menos a un usuario víauserusernamepasswordpassword las opciones.

Paso 4 

username [lawful-intercept [name] [privilege privilege-level | view view-name] password password

Example:

Router(config)# username lawful-intercept li-user1 password li-user1pass

Configura a los usuarios de la interrupción permitida en un dispositivo de Cisco.

Paso 5 

parser view view-name

Example:

Router(config)# parser view li view name

(Opcional) ingresa al modo de configuración de la visión, que permite que usted cambie la contraseña de la opinión de la interrupción permitida o el nombre a visualizar de la interrupción permitida.

Paso 6 

secret 5 encrypted-password

Example:

Router(config-view)# secret 5 secret

(Opcional) cambia una contraseña existente para una opinión de la interrupción permitida.

Paso 7 

name new-name

Example:

Router(config-view)# name second

(Opcional) cambia el nombre de una opinión de la interrupción permitida.

Si este comando no se publica, el nombre predeterminado de la opinión de la interrupción permitida es “li-vista.”

Consejos de Troubleshooting

Al mostrar información para todos los usuarios que tengan acceso a una opinión de la interrupción permitida, publique show users lawful-intercept el comando. (Este comando está disponible solamente para los usuarios autorizados de la opinión de la interrupción permitida.)

Configurar un Superview

Realice esta tarea de crear un superview y de agregar por lo menos una opinión CLI al superview.

Prerrequisitos

Antes de agregar una opinión CLI a un superview, asegúrese de que las opiniones CLI que se agregan al superview son visiónes válidas en el sistema; es decir, las opiniónes se han creado con éxito vía parser view el comando.

Restricciones

Usted puede agregar una visión a un superview solamente después que una contraseña se ha configurado para el superview (vía secret 5 el comando). Después de eso, publique view el comando en el modo de configuración de la visión de agregar por lo menos una opinión CLI al superview.

PASOS SUMARIOS

1. enable view

2. configure terminal

3.parser view superview-namesuperview

4. secret 5 encrypted-password

5. view view-name

6. exit

7. exit

8.show parser view []all

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable view

Example:

Router> enable view

Opinión de la raíz de los permisos.

Ingrese su contraseña del nivel de privilegio 15 (por ejemplo, contraseña de raíz) si está indicado.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

parser view superview-name superview

Example:

Router(config)# parser view su_view1 superview

Crea un superview y ingresa al modo de configuración de la visión.

Paso 4 

secret 5 encrypted-password

Example:

Router(config-view)# secret 5 secret

Asocia una opinión o el superview CLI a una contraseña.

Notausted debe publicar este comando antes de que usted pueda configurar los atributos adicionales para la visión.

Paso 5 

view view-name

Example:

Router(config-view)# view view_three

Agrega una opinión normal CLI a un superview.

Publique este comando para cada opinión CLI que deba ser agregada a un superview dado.

Paso 6 

exit

Example:

Router(config-view)# exit

Modo de configuración de la opinión de las salidas.

Paso 7 

exit

Example:

Router(config)# exit

Sale del modo de configuración global.

Paso 8 

show parser view [all]

Example:

Router# show parser view

(Opcional) visualiza la información sobre la visión que el usuario está actualmente adentro.

all — Información de las visualizaciones para todos opiniónes que se configuran en el router.

Observeaunque este comando está disponible para los usuarios de la raíz y de la interrupción permitida, all la palabra clave está disponible solamente para los usuarios raíz. Sin embargo, all la palabra clave se puede configurar por un usuario en la opinión de la raíz para estar disponible para los usuarios en la opinión de la interrupción permitida y la opinión CLI.

Monitorear las opiniónes y a los usuarios de la visión

Para visualizar los mensajes del debug para todas las opiniónes — raíz, CLI, interrupción permitida, y estupendo — utilice debug parser view el comando en el modo EXEC privilegiado.

Ejemplos de configuración para el acceso basado en Role CLI

Ejemplo: Configurar una opinión CLI

Ejemplo: Verificar una opinión CLI

Ejemplo: Configurar una opinión de la interrupción permitida

Ejemplo: Configurar un Superview

Ejemplo: Configurar una opinión CLI

Las demostraciones del siguiente ejemplo cómo configurar dos opiniones CLI, “primero” y “en segundo lugar.” Después de eso, usted puede verificar la opinión CLI en la configuración corriente.

Router(config)# parser view first
00:11:40:%PARSER-6-VIEW_CREATED:view 'first' successfully created. 
Router(config-view)# secret 5 firstpass
Router(config-view)# command exec include show version
Router(config-view)# command exec include configure terminal
Router(config-view)# command exec include all show ip
Router(config-view)# exit
Router(config)# parser view second
00:13:42:%PARSER-6-VIEW_CREATED:view 'second' successfully created.
Router(config-view)# secret 5 secondpass
Router(config-view)# command exec include-exclusive show ip interface
Router(config-view)# command exec include logout
Router(config-view)# exit
!
!
Router(config-view)# do show run | beg view
parser view first
 secret 5 $1$MCmh$QuZaU8PIMPlff9sFCZvgW/
 commands exec include configure terminal
 commands exec include configure
 commands exec include all show ip
 commands exec include show version
 commands exec include show
!
parser view second
 secret 5 $1$iP2M$R16BXKecMEiQesxLyqygW.
 commands exec include-exclusive show ip interface
 commands exec include show ip
 commands exec include show
 commands exec include logout
!

Ejemplo: Verificar una opinión CLI

Después de que usted haya configurado el CLI ve “primero” y “en segundo lugar,” usted puede publicar enable view el comando de verificar qué comandos están disponibles en cada visión. Las demostraciones del siguiente ejemplo que los comandos están disponibles dentro de la opinión CLI “primero” después de que el usuario haya registrado en esta visión. (Porque show ip el comando se configura con toda la opción, un conjunto completo de los suboptions se muestra, excepto show ip interface el comando, cuál está utilizando la palabra clave incluir-exclusiva en la segunda visión.)

Router# enable view first
Password:

00:28:23:%PARSER-6-VIEW_SWITCH:successfully set to view 'first'.
Router# ?
Exec commands:
  configure  Enter configuration mode
  enable     Turn on privileged commands
  exit       Exit from the EXEC
  show       Show running system information

Router# show ?

  ip       IP information
  parser   Display parser information
  version  System hardware and software status

Router# show ip ? 

  access-lists            List IP access lists
  accounting              The active IP accounting database
  aliases                 IP alias table
  arp                     IP ARP table
  as-path-access-list     List AS path access lists
  bgp                     BGP information
  cache                   IP fast-switching route cache
  casa                    display casa information
  cef                     Cisco Express Forwarding
  community-list          List community-list
  dfp                     DFP information
  dhcp                    Show items in the DHCP database
  drp                     Director response protocol
  dvmrp                   DVMRP information
  eigrp                   IP-EIGRP show commands
  extcommunity-list       List extended-community list
  flow                    NetFlow switching
  helper-address          helper-address table
  http                    HTTP information
  igmp                    IGMP information
  irdp                    ICMP Router Discovery Protocol
.
.
.

Ejemplo: Configurar una opinión de la interrupción permitida

El siguiente ejemplo muestra cómo configurar una opinión de la interrupción permitida, agregar a los usuarios a la visión, y verificar a los usuarios que fueron agregados:

!Initialize the LI-View.
Router(config)# li-view lipass user li_admin password li_adminpass
00:19:25:%PARSER-6-LI_VIEW_INIT:LI-View initialized.
Router(config)# end

! Enter the LI-View; that is, check to see what commands are available within the view.
Router# enable view li-view
Password:

Router#
00:22:57:%PARSER-6-VIEW_SWITCH:successfully set to view 'li-view'.
Router# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# parser view li-view 
Router(config-view)# ?
View commands:
  commands  Configure commands for a view
  default   Set a command to its defaults
  exit      Exit from view configuration mode
  name      New LI-View name      ===This option only resides in LI View.
  no        Negate a command or set its defaults
  password  Set a password associated with CLI views

Router(config-view)#

! NOTE:LI View configurations are never shown as part of `running-configuration'.

! Configure LI Users.
Router(config)# username lawful-intercept li-user1 password li-user1pass 
Router(config)# username lawful-intercept li-user2 password li-user2pass

! Displaying LI User information.
Router# show users lawful-intercept

li_admin     
li-user1     
li-user2     
Router#

Ejemplo: Configurar un Superview

La salida de muestra siguiente show running-config del comando muestra que el “view_one” y el “view_two” se han agregado al superview el "su_view1," y el “view_three” y el “view_four” se han agregado al superview el "su_view2":

!
parser view su_view1 superview
 secret 5 <encoded password>
 view view_one
 view view_two
!
parser view su_view2 superview
 secret 5 <encoded password>
 view view_three
 view view_four
!

Referencias adicionales

Documentos Relacionados


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de software de Cisco, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para el acceso basado en Role CLI

La Tabla 1 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para el acceso basado en Role CLI 

Nombre de la función
Versiones
Información sobre la Función

Acceso CLI Basado en Función

12.3(7)T
12.3(11)T
12.2(33)SRB
12.2(33)SB
12.2(33)SXI
Cisco IOS XE 3.1.0SG

Esta característica permite a los administradores de la red para restringir el acceso del usuario al CLI y a la información de la configuración.

En 12.3(11)T, la capacidad de la opinión CLI fue ampliada para restringir el acceso del usuario en un nivel de por interface, y las opiniones adicionales CLI fueron introducidas para soportar la capacidad extendida de la visión. También, el soporte para agrupar las opiniones configuradas CLI en un superview fue introducido.

Se han insertado o modificado los siguientes comandos: commands (view)enableli-viewname (view) parser viewparser view superview, secret show parser viewshow usersusername view.