Configurez IOS-XE pour afficher la configuration complète show running-config pour les utilisateurs à faible niveau de privilège.

Introduction

Ce document décrit les étapes de configuration permettant d'afficher la configuration en cours complète pour les utilisateurs connectés au routeur avec des niveaux de privilège faibles. Pour comprendre le problème ci-dessous et le contournement, il est nécessaire de comprendre les niveaux de privilège.  Les niveaux de privilège disponibles vont de 0 à 15 et permettent à l'administrateur de personnaliser les commandes disponibles au niveau des privilèges. Par défaut, les trois niveaux de privilège sur un routeur sont les suivants :

• Niveau 0 - Inclut uniquement les commandes de base (désactiver, activer, quitter, aider et se déconnecter)
• Niveau 1 - Inclut toutes les commandes disponibles en mode de commande User EXEC
• Niveau 15 - Inclut toutes les commandes disponibles en mode privilégié.

Les niveaux restants entre ces niveaux minimum et maximum ne sont pas définis jusqu'à ce que l'administrateur leur attribue des commandes et/ou des utilisateurs. Par conséquent, l'administrateur peut attribuer aux utilisateurs différents niveaux de privilège entre ces niveaux de privilège minimal et maximal afin de séparer ce à quoi les différents utilisateurs ont également accès. L'administrateur peut ensuite allouer des commandes individuelles (et diverses autres options) à un niveau de privilège individuel pour rendre cela disponible pour n'importe quel utilisateur de ce niveau. Exemple :

Router(config)# username user1 privilege 7 password P@ssw0rD1
Router(config)# privilege exec level 7 show access-lists

Avec cette configuration, lorsque ‘user1’ est connecté au routeur, il peut exécuter la commande show access-lists et/ou tout autre élément activé à ce niveau de privilège. Cependant, il ne peut pas en être de même pour la commande « show running-config », comme nous allons le voir ci-dessous avec notre énoncé de problème.

Conditions préalables

Conditions requises

Une compréhension de base des niveaux de privilège cisco est requise pour comprendre ce document. L'introduction ci-dessus doit suffire pour expliquer la compréhension des niveaux de privilège requis.

Components Used

Les composants utilisés pour les exemples de configuration dans ce document étaient un ASR1006. 

Problème de configuration

Lors de la configuration de différents niveaux d’accès au routeur pour différents utilisateurs, il est courant qu’un administrateur réseau tente d’attribuer à certains utilisateurs uniquement l’accès aux commandes show et non à aucune commande de configuration. Il s'agit d'une tâche simple pour la plupart des commandes show, car vous pouvez accorder l'accès via une configuration simple comme indiqué ci-dessous :

Router(config)# username test_user privilege 10 password testP@ssw0rD
Router(config)# privilege exec level 10 show
Router(config)# privilege exec level 10 show running-config

Avec cet exemple de configuration, la deuxième ligne permettra à ‘test_user’ d’accéder à une pléthore de commandes associées à show, qui ne sont normalement pas disponibles à ce niveau de privilège. Cependant, la commande show running-config est traitée différemment de la plupart des commandes show. Même avec la troisième ligne de l'exemple de code, seul un show running-config omis/abrégé sera affiché pour l'utilisateur, même si la commande est spécifiée au niveau de privilège correct.

Vérification de l'accès utilisateur

username (nom d’utilisateur) : test_user
Mot de passe :
Routeur#
Routeur#show privilege      
Le niveau de privilège actuel est 10
Routeur#
Router#show running-config
Création de la configuration...

Configuration actuelle : 121 bytes
!
! Dernier changement de configuration à 21:10:08 UTC Lun 28 août 2017
!
boot-start-mark
boot-end-mark
!
!
!
tranche

Routeur#

Comme vous pouvez le voir, ce résultat ne montre aucune configuration et ne serait pas utile à un utilisateur qui tente de collecter des informations sur la configuration du routeur. En effet, la commande show running-config affiche uniquement toutes les commandes que l'utilisateur peut modifier à son niveau de privilège actuel. Il s'agit d'une configuration de sécurité destinée à empêcher l'utilisateur d'accéder aux commandes configurées depuis un niveau supérieur à leur niveau de privilège actuel. Il s'agit d'un problème lors de la tentative de création d'un utilisateur ayant accès aux commandes show, car la commande show running-config est une commande standard que les ingénieurs doivent collecter initialement lors du dépannage.

Solution de configuration et vérification

Pour résoudre ce dilemme, il existe une autre version de la commande traditionnelle show run qui contournera cette limitation de la commande.

Router(config)# show running-config view full
Router(config)# privilege exec level 10 show running-config view full

L'ajout de la commande « view full » à la commande (et à son tour le niveau de privilège de la commande pour permettre à l'utilisateur d'accéder à la commande), permet maintenant à l'utilisateur d'afficher la commande show running-config complète sans aucune commande omise.

username (nom d’utilisateur) : test_user
Mot de passe :
Routeur#
Routeur#show privilege
Le niveau de privilège actuel est 10
Routeur#
Router#show running-config view full

Création de la configuration...

Configuration actuelle : 2664 bytes
!
! Dernier changement de configuration à 21:25:45 UTC Lun 28 août 2017
!
version 15.4
service timestamp debug datetime msec
service timestamp log datetime msec
no platform punt-keepalive disable-kernel-core
!
Nom d’hôte Router
!
boot-start-mark
boot system flash bootflash:packages.conf
boot system flash bootflash:asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin
boot-end-mark
!
vrf définition Mgmt-intf
 !
 address-family ipv4
 exit-address-family
 !       
 address-family ipv6
 exit-address-family
!
enable password <omis>
!
no aaa new-model
!
aucune recherche de domaine ip
!
modèle d'abonné
!
nom de lot multiliaison authentifié
!
spanning-tree extend system-id
!
username test_user privilege 10 password 0 testP@ssw0rD
!
redondance
 mode sso
!
cdp run
!
interface GigabitEthernet0/2/0
 no ip address
 shutdown
 Négociation automatique
!
interface GigabitEthernet0/2/1
 no ip address
 shutdown
 Négociation automatique
!
interface GigabitEthernet0
 vrf forwarding Mgmt-intf
 adresse ip <omise>
 Négociation automatique
 cdp enable
!
ip forward-protocol nd
!
plan de contrôle
!
!
privilège exec level 10 show running-config view full
alias show-running-config show running-config view full
!
line con 0
 stopbits 1
ligne aux 0
 exec-timeout 0 1
 aucun exec
 sortie de transport aucun
 stopbits 1
line vty 0 4
login local
!
tranche
Routeur#

Cependant, cela soulève la question, en donnant à l'utilisateur un accès à cette version de la commande, cela n'augmente-t-il pas le risque initial de sécurité qui tentait d'être résolu en concevant une version omise ?

Pour contourner la solution et garantir la cohérence dans une conception de réseau sécurisée, nous pouvons créer un alias pour l'utilisateur qui exécutera la version complète de la commande show running-config sans fournir d'accès/de connaissances à l'utilisateur, comme indiqué ci-dessous :

Router(config)# alias exec show-running-config show running-config view full

Dans cet exemple, la commande show-running-config est le nom d'alias. Lorsque l'utilisateur est connecté au routeur, il peut alors entrer ce nom d'alias au lieu de la commande et recevoir le résultat attendu sans connaître la commande en cours d'exécution.

Conclusion

En conclusion, ce n'est qu'un exemple de la manière d'avoir plus de contrôle lors de la création administrative d'un accès aux privilèges utilisateur à différents niveaux. Il existe une pléthore d'options permettant de créer différents niveaux de privilège et d'accéder à différentes commandes, et ceci est un exemple de la façon de s'assurer qu'un utilisateur « show-only » a toujours accès à la configuration en cours lorsqu'il n'a pas accès à aucune commande de configuration.