概要
この資料は方法のコンフィギュレーションのステップを低い特権レベルが付いているルータにログオンされるユーザ向けの完全な実行コンフィギュレーションを表示する記述したものです。 下記の問題および回避策を理解するために特権レベルを理解することは必要です。 利用可能 な 特権レベルは 0 から 15 までどんな特権レベルか及び、管理者がどんなコマンドがで利用できるかカスタマイズすることを可能にします。 デフォルトで、ルータの 3 つの特権レベルは次のとおりです:
- レベル 0 – includes 基本的なコマンドだけ(ディセーブル、イネーブル、終了、ヘルプおよびログアウト)
- レベル 1 –ユーザ EXEC コマンド モードで利用可能 なすべてのコマンドが含まれています
- レベル 15 – Privileged exec コマンド モードで利用可能 なすべてのコマンドが含まれています
管理者がそれらにコマンドやユーザを割り当てるまでこれらの最小の間の残りのレベルおよび最高レベルは未定義です。 従って、管理者はユーザに異なるユーザーはアクセスできるももの分けるためにこれらの最小および最大特権レベルの間の異なる特権レベルを指定できます。 管理者は個々の特権レベルにこれをあらゆるユーザ向けに使用できるようにこのレベルでするそれから個々のコマンド(および他のいろいろなオプションを)割り当てることができます。 次に、例を示します。
Router(config)# ユーザ名 user1 特権 7 パスワード P@ssw0rD1
Router(config)# 特権 exec レベル 7 show access-lists
この設定 ルータに接続された「user1」が「show access-lists」コマンドを実行できるおよび/またはその特権レベルで有効に されて何か他のもの場合の。 同じがどんなに有効に した「show running-config」コマンドをのために言うことができなくても、問題文と後で説明されているように。
前提条件
要件
cisco 特権レベルの基本的な知識が上の概要必要となる特権レベルの知識を説明することを足りる必要がありますこの資料を理解するために必要となります。
使用するコンポーネント
この資料内の設定例のために使用したコンポーネントは ASR1006 でした。
コンフィギュレーションに関する問題
異なるアクセス レベルを異なるユーザー向けのルータに設定するとき、それは」コマンド示すためにアクセスできるようにただ一定のユーザを割り当てるように試みるネットワーク管理者のための一般的なアプリケーション「でありとアクセスをあらゆる「を設定」に提供しないために命じます。 これは下記にによって簡単なコンフィギュレーションによってアクセスを認めることができるように、ほとんどの show コマンドのための単純なタスクです:
Router(config)# ユーザ名 test_user 特権 10 パスワード testP@ssw0rD
Router(config)# 特権 exec レベル 10 は示します
Router(config)# 特権 exec レベル 10 show running-config
この設定例によって、第 2 行は「test_user が」茄多にの普通この特権レベルで利用可能ではない関連のコマンドを示すのをアクセスできるようにします。 ただし、show running-config コマンドはほとんどの show コマンド別様に扱われます。 コード例の第 3 行と、ただ省略された/短縮された「show running-config は」正しい特権レベルで規定 される コマンドにもかかわらずユーザ向けに表示する。
User Access Verification
ユーザ名: test_user
パスワード:
Router#
Router#show 特権
現在の特権レベルは 10 です
Router#
Router#show running-config
Building configuration...
現在の設定: 121 バイト
!
! 21:10:08 UTC 月曜日 2017 年 8 月 28 日の最後のコンフィギュレーション変更
!
boot-start-marker
boot-end-marker
!
!
!
end
Router#
見ることができるようにこの出力は設定を示さないし、ルータの設定についての情報を収集することを試みているユーザに有用ではないものです。 これはユーザは現在の特権レベルで修正できることだけ show running-config コマンドがコマンドすべてを表示するという理由によります。 これはセキュリティとコンフィギュレーションとして設計されていますアクセスできることを現在の特権レベルの上でから設定されたコマンドにユーザによってが防ぐように。 これは解決するとき「show running-config」として show コマンドにアクセスでユーザを、作成するように試みるとき問題です最初に集まるエンジニアのための標準 コマンドです。
設定 ソリューションおよび確認
このジレンマへのソリューションとして、コマンドのこの制限をバイパスする従来の show run コマンドのもう一つのバージョンがあります。
十分の Router(config)# show running-config ビュー
十分の Router(config)# 特権 exec レベル 10 show running-config ビュー
コマンドにユーザアクセスを許可するコマンドのコマンド、(および次々と特権レベルへの「十分のビュー」の付加は)、今ユーザが省略されたコマンドなしで完全な show running-config を表示することを可能にします。
ユーザ名: test_user
パスワード:
Router#
Router#show 特権
現在の特権レベルは 10 です
Router#
十分の Router#show running-config ビュー
Building configuration...
現在の設定: 2664 バイト
!
! 21:25:45 UTC 月曜日 2017 年 8 月 28 日の最後のコンフィギュレーション変更
!
バージョン 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
プラットフォーム パント キープアライブ ディセーブル カーネル コア無し
!
hostname Router
!
boot-start-marker
boot system flash bootflash: packages.conf
boot system flash bootflash:asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin
boot-end-marker
!
VRF 定義 Mgmt-intf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!
イネーブルパスワード <omitted>
!
no aaa new-model
!
no ip domain lookup
!
サブスクライバ テンプレート
!
認証される multilink bundle-name
!
spanning-tree extend system-id
!
ユーザ名 test_user 特権 10 パスワード 0 testP@ssw0rD
!
redundancy
モード sso
!
cdp run
!
インターフェイス GigabitEthernet0/2/0
no ip address
shutdown
negotiation auto
!
インターフェイス GigabitEthernet0/2/1
no ip address
shutdown
negotiation auto
!
インターフェイス GigabitEthernet0
VRF 転送 Mgmt-intf
IP アドレス <omitted>
negotiation auto
cdp enable
!
ip forward-protocol nd
!
control-plane
!
!
十分の特権 exec レベル 10 show running-config ビュー
十分のエイリアス exec show running-config show running-config ビュー
!
line con 0
stopbits 1
line aux 0
exec-timeout 0 1
no exec
transport output none
stopbits 1
line vty 0 4
login local
!
end
Router#
これがそれから質問をどんなに上げても、コマンドのこのバージョンへユーザアクセスを提供することによって、これは省略されたバージョンの設計によって解決するように試みていた最初のセキュリティリスクを上げませんか。
ソリューションへの対応策としてセキュア ネットワーク設計の一貫性を確認するために、下記に示されているようにユーザへアクセス/知識を提供しないで show running-config コマンドの完全なバージョンを実行するユーザ向けのエイリアスを、作成し、:
十分の Router(config)# エイリアス exec show running-config show running-config ビュー
この例では「show running-config は」エイリアス名前であり、ユーザがルータ ログイン されるとき、それらはコマンドの代りにそしてこのエイリアス名前を入力し、実行されている実際のコマンドのナレッジなしで期待された 出力を表示されることができます。
結論
結論として、これは異なるレベルで管理上ユーザー特権アクセスを作成するとき方法のちょうど 1 つの例より多くの制御を持つです。 さまざまな特権レベルを作成し、異なるコマンドにアクセスするオプションの茄多があり「示だけ」ユーザを確認するあらゆる設定コマンドにアクセスがないときこれは完全な running-config に方法の例今でもアクセスできますです。