تكوين تكوين التكوين الجاري تشغيله بالكامل للمستخدمين الذين لديهم مستويات امتياز منخفضة

خيارات التنزيل

  • PDF     (260.7 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٢٥ يناير ٢٠٢٤
معرّف المستند:212149

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند عملية التكوين لعرض التكوين الجاري تشغيله بالكامل للمستخدمين الذين لديهم مستويات امتياز منخفضة.

    المتطلبات الأساسية

    المتطلبات

    مطلوب فهم أساسي لمستويات امتيازات Cisco لفهم هذا المستند، وتكفي معلومات الخلفية لشرح فهم مستويات الامتيازات المطلوبة.

    المكونات المستخدمة

    المكونات المستخدمة لأمثلة التكوين داخل هذا المستند كانت ASR1006 ولكن أي جهاز Cisco IOS® أو Cisco IOS XE يعمل بشكل مماثل. 

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    يصف هذا المستند خطوات التكوين في كيفية عرض التكوين الجاري تشغيله بالكامل للمستخدمين الذين قاموا بتسجيل الدخول إلى الموجه بمستويات امتيازات منخفضة. لفهم المشكلة التالية والحل البديل، من الضروري فهم مستويات الامتيازات.  تتراوح مستويات الامتيازات المتاحة من 0 إلى 15، وتسمح للمسؤول بتخصيص الأوامر المتوفرة على أي مستوى امتياز. بشكل افتراضي، تكون مستويات الامتيازات الثلاثة على الموجه:

    • المستوى 0 - يتضمن الأوامر الأساسية فقط (تعطيل، تمكين، إنهاء، تعليمات، وتسجيل الخروج)
    • المستوى 1 - يتضمن جميع الأوامر المتوفرة في وضع أمر EXEC للمستخدم
    • المستوى 15 - يتضمن جميع الأوامر المتوفرة في وضع أمر EXEC ذي الامتيازات

    لا يتم تحديد المستويات المتبقية بين هذين المستويين الأدنى والأقصى حتى يقوم المسؤول بتعيين الأوامر و/أو المستخدمين لهم. لذلك، يمكن أن يعين المسؤول مستخدمين مستويات امتياز مختلفة بين مستويات الامتياز الدنيا والقصوى هذه لفصل ما لدى المستخدمين المختلفين حق الوصول إليه أيضا. يمكن للمسؤول بعد ذلك تخصيص أوامر فردية (وخيارات أخرى متنوعة) لمستوى امتياز فردي لتوفير هذا المستوى لأي مستخدم بهذا المستوى. على سبيل المثال:

    Router(config)# username user1 privilege 7 password P@ssw0rD1
    Router(config)# privilege exec level 7 show access-lists

    باستخدام هذا التكوين، عند اتصال المستخدم1 بالموجه، سيكون بإمكانهم تشغيل الأمرshow access-lists، و/أو أي شيء آخر تم تمكينه على مستوى الامتياز هذا. ومع ذلك، لا يمكن قول نفس الشيءshow running-config لتمكين الأمر، كما هو الحال لاحقا في بيان المشكلة.

    مشكلة في التكوين

    عند تكوين مستويات وصول مختلفة إلى الموجه لمستخدمين مختلفين، من الشائع أن يحاول مسؤول الشبكة تعيين مستخدمين معينين للوصول إلىshow الأوامر فقط، وعدم توفير الوصول إلى أي أمرconfiguration . هذه مهمة بسيطة لمعظمshow الأوامر، حيث يمكنك منح الوصول من خلال تكوين بسيط كما يلي:

    Router(config)# username test_user privilege 10 password testP@ssw0rD 
    Router(config)# privilege exec level 10 show 
    Router(config)# privilege exec level 10 show running-config

    مع هذا مثال تشكيل، يسمح الخطtest_userثاني أن يتلقى منفذ إلى وفرة من العرض أمر متصل، أي يكون عادة لا يتوفر في هذا امتياز مستوى. ومع ذلك،show running-configيتم التعامل مع الأمر بشكل مختلف مع معظم أوامر show. حتى مع رمز السطر الثالث من المثال، يتم عرض أمر محذوف/مختصرshow running-configفقط للمستخدم على الرغم من تحديد الأمر على مستوى الامتياز الصحيح.

    User Access Verification

    Username: test_user
     Password: 
     Router#
     Router#show privilege      
     Current privilege level is 10
     Router#
     Router#show running-config 
     Building configuration...

    Current configuration : 121 bytes
     !
     ! Last configuration change at 21:10:08 UTC Mon Aug 28 2017
     !
     boot-start-marker
     boot-end-marker
     !
     !
     !
     end

    Router#

    وكما ترى، لا يعرض هذا الإخراج أي تكوين، ولن يكون مفيدا للمستخدم الذي يحاول جمع معلومات حول تكوين الموجه. هذا لأنshow running-configالأمر يعرض كل الأمر أن المستعمل يستطيع أن يعدل في مستوي امتيازهم الحالي. تم تصميم هذا كتكوين أمان لمنع المستخدم من الوصول إلى الأوامر التي تم تكوينها مسبقا من مستوى الامتيازات الحالي. هذه مشكلة عند محاولة إنشاء مستخدم له حق الوصول إلى أوامر show، كماshow running-configهو أمر قياسي للمهندسين لجمعه مبدئيا عند أستكشاف الأخطاء وإصلاحها.

    حل التكوين والتحقق

    كحل لهذه المعضلة، هناك إصدار آخر من الأمر التقليديshow run الذي يتجاوز حدود الأمر هذه.

    Router(config)# show running-config view full
     Router(config)# privilege exec level 10 show running-config view full

    الإضافة منview fullإلى الأمر، (وبالتالي مستوى الامتياز من الأمر أن يسمح للمستخدم بالوصول إلى الأمر)، يسمح الآن للمستخدم بعرض الكاملshow running-configدون أي أمر محذوف.

    Username: test_user
     Password: 
     Router#
     Router#show privilege
     Current privilege level is 10
     Router#
     Router#show running-config view full

    Building configuration...

    Current configuration : 2664 bytes
     !
     ! Last configuration change at 21:25:45 UTC Mon Aug 28 2017
     !
     version 15.4
     service timestamps debug datetime msec
     service timestamps log datetime msec
     no platform punt-keepalive disable-kernel-core
     !
     hostname Router
     !
     boot-start-marker
     boot system flash bootflash:packages.conf
     boot system flash bootflash:asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin
     boot-end-marker
     !
     vrf definition Mgmt-intf
      !
      address-family ipv4
      exit-address-family
      !        
      address-family ipv6
      exit-address-family
     !
     enable password <omitted>
     !
     no aaa new-model
     !
     no ip domain lookup
     !
     subscriber templating
     !
     multilink bundle-name authenticated
     !
     spanning-tree extend system-id
     !
     username test_user privilege 10 password 0 testP@ssw0rD 
     !
     redundancy
      mode sso
     !
     cdp run
     !
     interface GigabitEthernet0/2/0
      no ip address
      shutdown
      negotiation auto
     !
     interface GigabitEthernet0/2/1
      no ip address
      shutdown
      negotiation auto
     !
     interface GigabitEthernet0
      vrf forwarding Mgmt-intf
      ip address <omitted>
      negotiation auto
      cdp enable
     !
     ip forward-protocol nd
     !
     control-plane
     !
     !
     privilege exec level 10 show running-config view full
     alias exec show-running-config show running-config view full
     !
     line con 0
      stopbits 1
     line aux 0
      exec-timeout 0 1
      no exec
      transport output none
      stopbits 1
     line vty 0 4
     login local
     !
     end
     Router#

    ومع ذلك، فإن هذا يثير السؤال، من خلال توفير وصول المستخدم إلى هذا الإصدار من الأمر، ألا يؤدي ذلك إلى زيادة المخاطر الأمنية الأولية التي كانت تحاول حلها من خلال تصميم إصدار محذوف؟

    كحل بديل للحل ولضمان التناسق في تصميم شبكة آمن، يمكنك إنشاء اسم مستعار للمستخدم الذي يشغل الإصدار الكامل منshow running-configالأمر دون توفير الوصول/المعرفة للمستخدم، كما هو موضح هنا:

    Router(config)# alias exec show-running-config show running-config view full

    في هذا المثالshow running-configهو اسم الاسم المستعار، وعندما يتم تسجيل دخول المستخدم إلى الموجه، فيمكنه بعد ذلك إدخال اسم الاسم المستعار هذا بدلا من الأمر واستلام الإخراج المتوقع دون معرفة الأمر الفعلي الذي يتم تشغيله.

    ملاحظة: من إصدار 16.x، بناء على النظام الأساسي، يلزم أيضا إضافة أذونات إلى الملفات باستخدام الأمر (config)#file امتياز <level>.

    القرار

    في الختام، هذا مثال واحد فقط على كيفية الحصول على مزيد من التحكم عند إنشاء وصول ميزة المستخدم إداريا على مستويات مختلفة. هناك عدد كبير من الخيارات لإنشاء مستويات امتياز متنوعة والوصول إلى أوامر مختلفة، وهذا مثال على كيفية ضمان أن المستخدم show فقط ما زال لديه حق الوصول إلى التكوين الجاري تشغيله بالكامل عندما لا يكون لديه حق الوصول إلى أي أوامر تكوين.

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    3.0
    25-Jan-2024
    تقويم
    1.0
    25-Sep-2017
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Chris Courtelis
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات