簡介
本文檔介紹為低許可權級別的使用者顯示完整運行配置的配置過程。
必要條件
需求
要理解本檔案,必須具備對思科許可權級別的基本理解,背景資訊足以解釋對所需許可權級別的理解。
採用元件
本文檔中用於配置示例的元件是ASR1006,但所有Cisco IOS®或Cisco IOS XE裝置的工作方式都類似。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
本文描述如何顯示以低許可權級別登入到路由器的使用者的完整運行配置的配置步驟。要瞭解下一個問題和解決方法,必須瞭解許可權級別。 可用的許可權級別範圍為0到15,並允許管理員自定義哪些命令在哪些許可權級別可用。預設情況下,路由器上的三個許可權層級為:
- 級別0 — 僅包括基本命令(禁用、啟用、退出、幫助和註銷)
- 第1級 — 包括使用者EXEC命令模式下可用的所有命令
- 第15級 — 包括在特權EXEC命令模式下可用的所有命令
在管理員將命令和/或使用者分配給它們之前,這些最小和最大級別之間的剩餘級別是未定義的。因此,管理員可以為使用者分配不同許可權級別,這些許可權級別介於最小許可權級別和最大許可權級別之間,以分隔不同使用者也具有訪問許可權的內容。然後,管理員可以將單個命令(和各種其他選項)分配給單個許可權級別,以使此級別的任何使用者都可以使用它。舉例來說:
Router(config)# username user1 privilege 7 password P@ssw0rD1
Router(config)# privilege exec level 7 show access-lists
透過此設定,當user1連線到路由器時,他們能夠執行show access-lists命令和/或在該許可權層級啟用的任何其他內容。但是,對於enabled the命令,則不能如此show running-config ,這個問題語句稍後將對此進行討論。
組態問題
show 當為不同使用者配置對路由器的不同訪問級別時,網路管理員常見的做法是嘗試將某些使用者分配為僅有權訪問命令,而不提供對任何命令的訪問configuration 。這是大多數命令的簡單任務show ,因為您可以通過以下簡單配置授予訪問許可權:
Router(config)# username test_user privilege 10 password testP@ssw0rD
Router(config)# privilege exec level 10 show
Router(config)# privilege exec level 10 show running-config
透過此範例組態,第二行可允許存取過多的show related命令test_user,這些命令通常在此許可權層級上無法使用。但是,該命令show running-config的處理方式與大多數show命令不同。即使使用示例代碼的第三行,也只為使用者顯示省略/縮寫show running-config,儘管已在正確的許可權級別指定命令。
User Access Verification
Username: test_user
Password:
Router#
Router#show privilege
Current privilege level is 10
Router#
Router#show running-config
Building configuration...
Current configuration : 121 bytes
!
! Last configuration change at 21:10:08 UTC Mon Aug 28 2017
!
boot-start-marker
boot-end-marker
!
!
!
end
Router#
您可以看到,此輸出未顯示任何配置,對試圖收集路由器配置資訊的使用者沒有幫助。這是因為show running-config,該命令會顯示使用者能夠在其當前許可權級別修改的所有命令。這是設計為安全配置,防止使用者從其當前許可權級別訪問以前配置的命令。在嘗試建立具有show命令訪問許可權的使用者時,會出現此問題;這是工程師在排除故障時收集的標準命令show running-config。
組態解決方案和驗證
作為這一困境的解決之道,傳統命令的另一個版本show run ,繞過了命令的這種限制。
Router(config)# show running-config view full
Router(config)# privilege exec level 10 show running-config view full
現在,新增到命令view full(並反過來增加命令的許可權級別以允許使用者訪問命令)允許使用者檢視完整版而不使用任何省略的命令show running-config。
Username: test_user
Password:
Router#
Router#show privilege
Current privilege level is 10
Router#
Router#show running-config view full
Building configuration...
Current configuration : 2664 bytes
!
! Last configuration change at 21:25:45 UTC Mon Aug 28 2017
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no platform punt-keepalive disable-kernel-core
!
hostname Router
!
boot-start-marker
boot system flash bootflash:packages.conf
boot system flash bootflash:asr1000rp1-adventerprisek9.03.13.06a.S.154-3.S6a-ext.bin
boot-end-marker
!
vrf definition Mgmt-intf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!
enable password <omitted>
!
no aaa new-model
!
no ip domain lookup
!
subscriber templating
!
multilink bundle-name authenticated
!
spanning-tree extend system-id
!
username test_user privilege 10 password 0 testP@ssw0rD
!
redundancy
mode sso
!
cdp run
!
interface GigabitEthernet0/2/0
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet0/2/1
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet0
vrf forwarding Mgmt-intf
ip address <omitted>
negotiation auto
cdp enable
!
ip forward-protocol nd
!
control-plane
!
!
privilege exec level 10 show running-config view full
alias exec show-running-config show running-config view full
!
line con 0
stopbits 1
line aux 0
exec-timeout 0 1
no exec
transport output none
stopbits 1
line vty 0 4
login local
!
end
Router#
但是,這確實會引發問題,通過向使用者提供此版本命令的訪問許可權,這是否不會引起試圖通過設計省略版本來解決的初始安全風險?
show running-config 作為解決方案的變通方法,以及為確保安全網路設計的一致性,您可以為運行完整版命令的使用者建立別名,而無需為使用者提供訪問/知識,如下所示:
Router(config)# alias exec show-running-config show running-config view full
在本例中show running-config,是別名,當使用者登入到路由器時,他們可輸入此別名而不是命令,並在不知道正在運行的實際命令的情況下接收預期輸出。
附註:從16.X版本開始,根據平台,還需要使用命令(config)#file privilege <level>向檔案新增許可權。
結論
總之,這只是管理性建立不同級別的使用者許可權訪問時如何擁有更多控制的一個示例。建立各種許可權級別以及訪問不同命令的選項眾多,以下示例說明了如何確保show only使用者在無權訪問任何配置命令時仍然能夠訪問完整運行配置。
相關資訊
意見