アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

低い特権レベルを持つユーザ向けの完全な show running-config を表示するために IOS XE を設定して下さい

ダウンロード オプション

  • PDF     (195.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (76.5 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (74.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2017 年 9 月 13 日
Document ID:212149
翻訳について

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

この資料は方法のコンフィギュレーションのステップを低い特権レベルが付いているルータにログオンされるユーザ向けの完全な実行コンフィギュレーションを表示する記述したものです。 下記の問題および回避策を理解するために特権レベルを理解することは必要です。  利用可能 な 特権レベルは 0 から 15 までどんな特権レベルか及び、管理者がどんなコマンドがで利用できるかカスタマイズすることを可能にします。 デフォルトで、ルータの 3 つの特権レベルは次のとおりです:

  • レベル 0 – includes 基本的なコマンドだけ(ディセーブル、イネーブル、終了、ヘルプおよびログアウト)
  • レベル 1 –ユーザ EXEC コマンド モードで利用可能 なすべてのコマンドが含まれています
  • レベル 15 – Privileged exec コマンド モードで利用可能 なすべてのコマンドが含まれています

管理者がそれらにコマンドやユーザを割り当てるまでこれらの最小の間の残りのレベルおよび最高レベルは未定義です。 従って、管理者はユーザに異なるユーザーはアクセスできるももの分けるためにこれらの最小および最大特権レベルの間の異なる特権レベルを指定できます。 管理者は個々の特権レベルにこれをあらゆるユーザ向けに使用できるようにこのレベルでするそれから個々のコマンド(および他のいろいろなオプションを)割り当てることができます。 次に、例を示します。

Router(config)# ユーザ名 user1 特権 7 パスワード P@ssw0rD1
Router(config)# 特権 exec レベル 7 show access-lists

この設定 ルータに接続された「user1」が「show access-lists」コマンドを実行できるおよび/またはその特権レベルで有効に されて何か他のもの場合の。 同じがどんなに有効に した「show running-config」コマンドをのために言うことができなくても、問題文と後で説明されているように。

前提条件

要件

cisco 特権レベルの基本的な知識が上の概要必要となる特権レベルの知識を説明することを足りる必要がありますこの資料を理解するために必要となります。

使用するコンポーネント

この資料内の設定例のために使用したコンポーネントは ASR1006 でした。 

コンフィギュレーションに関する問題

異なるアクセス レベルを異なるユーザー向けのルータに設定するとき、それは」コマンド示すためにアクセスできるようにただ一定のユーザを割り当てるように試みるネットワーク管理者のための一般的なアプリケーション「でありとアクセスをあらゆる「を設定」に提供しないために命じます。 これは下記にによって簡単なコンフィギュレーションによってアクセスを認めることができるように、ほとんどの show コマンドのための単純なタスクです:

Router(config)# ユーザ名 test_user 特権 10 パスワード testP@ssw0rD
Router(config)# 特権 exec レベル 10 は示します
Router(config)# 特権 exec レベル 10 show running-config

この設定例によって、第 2 行は「test_user が」茄多にの普通この特権レベルで利用可能ではない関連のコマンドを示すのをアクセスできるようにします。 ただし、show running-config コマンドはほとんどの show コマンド別様に扱われます。 コード例の第 3 行と、ただ省略された/短縮された「show running-config は」正しい特権レベルで規定 される コマンドにもかかわらずユーザ向けに表示する。

User Access Verification

ユーザ名: test_user
パスワード:
Router#
Router#show 特権      
現在の特権レベルは 10 です
Router#
Router#show running-config
Building configuration...

現在の設定: 121 バイト
!
! 21:10:08 UTC 月曜日 2017 年 8 月 28 日の最後のコンフィギュレーション変更
!
boot-start-marker
boot-end-marker
!
!
!
end

Router#

見ることができるようにこの出力は設定を示さないし、ルータの設定についての情報を収集することを試みているユーザに有用ではないものです。 これはユーザは現在の特権レベルで修正できることだけ show running-config コマンドがコマンドすべてを表示するという理由によります。 これはセキュリティとコンフィギュレーションとして設計されていますアクセスできることを現在の特権レベルの上でから設定されたコマンドにユーザによってが防ぐように。 これは解決するとき「show running-config」として show コマンドにアクセスでユーザを、作成するように試みるとき問題です最初に集まるエンジニアのための標準 コマンドです。

設定 ソリューションおよび確認

このジレンマへのソリューションとして、コマンドのこの制限をバイパスする従来の show run コマンドのもう一つのバージョンがあります。

十分の Router(config)# show running-config ビュー
十分の Router(config)# 特権 exec レベル 10 show running-config ビュー

コマンドにユーザアクセスを許可するコマンドのコマンド、(および次々と特権レベルへの「十分のビュー」の付加は)、今ユーザが省略されたコマンドなしで完全な show running-config を表示することを可能にします。

ユーザ名: test_user
パスワード:
Router#
Router#show 特権
現在の特権レベルは 10 です
Router#
十分の Router#show running-config ビュー

Building configuration...

現在の設定: 2664 バイト
!
! 21:25:45 UTC 月曜日 2017 年 8 月 28 日の最後のコンフィギュレーション変更
!
バージョン 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
プラットフォーム パント キープアライブ ディセーブル カーネル コア無し
!
hostname Router
!
boot-start-marker
boot system flash bootflash: packages.conf
boot system flash bootflash:asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin
boot-end-marker
!
VRF 定義 Mgmt-intf
 !
 address-family ipv4
 exit-address-family
 !       
 address-family ipv6
 exit-address-family
!
イネーブルパスワード <omitted>
!
no aaa new-model
!
no ip domain lookup
!
サブスクライバ テンプレート
!
認証される multilink bundle-name
!
spanning-tree extend system-id
!
ユーザ名 test_user 特権 10 パスワード 0 testP@ssw0rD
!
redundancy
 モード sso
!
cdp run
!
インターフェイス GigabitEthernet0/2/0
 no ip address
 shutdown
 negotiation auto
!
インターフェイス GigabitEthernet0/2/1
 no ip address
 shutdown
 negotiation auto
!
インターフェイス GigabitEthernet0
 VRF 転送 Mgmt-intf
 IP アドレス <omitted>
 negotiation auto
 cdp enable
!
ip forward-protocol nd
!
control-plane
!
!
十分の特権 exec レベル 10 show running-config ビュー
十分のエイリアス exec show running-config show running-config ビュー
!
line con 0
 stopbits 1
line aux 0
 exec-timeout 0 1
 no exec
 transport output none
 stopbits 1
line vty 0 4
login local
!
end
Router#

これがそれから質問をどんなに上げても、コマンドのこのバージョンへユーザアクセスを提供することによって、これは省略されたバージョンの設計によって解決するように試みていた最初のセキュリティリスクを上げませんか。

ソリューションへの対応策としてセキュア ネットワーク設計の一貫性を確認するために、下記に示されているようにユーザへアクセス/知識を提供しないで show running-config コマンドの完全なバージョンを実行するユーザ向けのエイリアスを、作成し、:

十分の Router(config)# エイリアス exec show running-config show running-config ビュー

この例では「show running-config は」エイリアス名前であり、ユーザがルータ ログイン されるとき、それらはコマンドの代りにそしてこのエイリアス名前を入力し、実行されている実際のコマンドのナレッジなしで期待された 出力を表示されることができます。

結論

結論として、これは異なるレベルで管理上ユーザー特権アクセスを作成するとき方法のちょうど 1 つの例より多くの制御を持つです。 さまざまな特権レベルを作成し、異なるコマンドにアクセスするオプションの茄多があり「示だけ」ユーザを確認するあらゆる設定コマンドにアクセスがないときこれは完全な running-config に方法の例今でもアクセスできますです。

TAC Authored

シスコ エンジニア提供

  • クリス Courtelis
    Cisco TAC エンジニア

このドキュメントは役に立ちましたか?

Feedbackフィードバック

お問い合わせ先

関連するシスコ コミュニティ ディスカッション

このドキュメントは次の製品に対応しています

シスコについて
シスコへのお問い合わせ
採用情報