Privilege Levels

Nätverksadministratörer inom en IT-avdelning bör inte ha samma behörighetsnivå vid åtkomst till nätverkshanterare vare sig lokalt eller utifrån eget nätverk. Cisco IOS operativsystemet tillhandahåller två metoder för åtkomstbehörigheter: privilege level och role-based CLI. Båda metoderna hjälper till att avgöra vem får ansluta till nätverksenheter och vad som ska hanteras. Rollbaserad CLI-åtkomst ger mer detaljerad hantering och kontroll.

Som standard har Cisco IOS två nivåer av åtkomst till CLI-kommandon:

  • Användarexekveringsläge (User EXEC mode) – Den ger den lägsta behörighetsnivå (privilege level 1). Den tillåter några kommando som inte påverkar nätverkshanteraren.
  • Priviligierad exekveringsläge ( Privileged EXEC- mode). Den ger den högsta behörighetsnivå (privilege level 15).

Det finns totalt 16 behörighetsnivåer. Ju högre behörighetsnivå, desto högre behörighetsnivåer för routeråtkomst. Kommandon som är tillgängliga på lägre behörighetsnivåer är också tillgängliga på högre nivåer.

  • Nivå 0: Fördefinierade åtkomstbehörigheter på användarnivå. Används sällan denna nivå, men innehåller fem kommandon: enable, disable, exit, logout och help.
  • Nivå 1: Standardnivån för inloggning till användarexekveringsläge som identifieras med prompten Router>. På nivå 1 (privilege level 1) kan inte göras några ändringar i konfigurationer eller se innehållet i konfigurationsfilen running-config.
  • Nivå 2 – 14: Kan anpassas för olika behörigheter på användarnivå. Kommandon från lägre nivåer kan flyttas upp till en annan högre nivå, eller kommandon från högre nivåer kan flyttas ner till en lägre nivå.
  • Nivå 15: Reserverad för privilegierna för enable kommando. Användare kan ändra konfigurationer och se innehållet i konfigurationsfiler.

Syntax på privilegienivå

Router(config)# privilege mode {level value | reset} command

Konfigurering och tilldelning av behörighetsnivåer (privilege levels)

För att konfigurera en behörighetsnivå med specifika kommandon, exekveras kommandot privilege exec level level [command].

Exempel på tre olika behörighetsnivåer 5, 10 och 15. Förutom tilldelning av behörigheter skyddas varje behörighet med ett lösenord:

  • Privilege level 5 – Inkluderar tillgång till alla kommandon som finns för nivån 1 och ping.
  • Privilege level 10 – Inkluderar tillgång till alla kommandon som finns i denna nivå samt reload kommandot.
  • Privilege level 15 – Inkluderar tillgång till alla kommandon inklusive visning och ändring av konfigurationer.

Det finns två metoder för att tilldela lösenord till de olika behörighetsnivåerna:

  • Till en användare som har beviljats en specifik behörighetsnivå, använd kommandot username name privilege level secret password i det globala exekveringsläget.
  • Till den tilldelad privilegienivån, använd kommandot enable secret level level password i det global exekveringsläget.

Observera att username secret och enable secret måste ha konfigurerats för typ 9-kryptering.

  • R1(config# privilege exec level 5 ping
  • R1(config# enable algorithm-type scrypt secret level 5 ciscoPL5
  • R1(config# username SUPPORT privilege 5 algorithm-type scrypt secret ciscoPL5
  • R1(config# privilege exec level 10 reload
  • R1(config# enable algorithm-type scrypt secret level 10 ciscoPL10
  • R1(config# username JR-ADMIN privilege 10 algorithm-type scrypt secret ciscoPL10
  • R1(config# enable algorithm-type scrypt secret level 15 ciscoPL15
  • R1(config# username ADMIN privilege 15 algorithm-type scrypt secret ciscoPL15

Observera att i exemplet har tilldelats ett lösenord till behörighet 5 samt ett lösenord till en specifik nätverksadministratör. Om någon skulle kunna dessa lösenord kommer inte kunna starta om routern eftersom inte inkluderas behörighet till kommando reload.

Nätverksadministratören på behörighetsnivå 10 kan exekvera kommandot reload, dock inte se den pågående konfigurationen (running-config).

Nätverksadministratören ADMIN har full åtkomstbehörigheter för att se och ändra konfigurationer,

Begränsningar av behörighetsnivåer

Användningen av behörighetsnivåer har sina begränsningar:

  • Ingen åtkomstkontroll till specifika interface, portar, logiska interface och kortplatser (slots) på en router.
  • Kommandon som är tillgängliga på lägre behörighetsnivåer är alltid exekverbara på högre nivåer.
  • Kommandon som är specifikt inställda på en högre behörighetsnivå är inte tillgängliga för användare med lägre behörighet.
  • Att tilldela ett kommando med flera nyckelord ger åtkomst till alla kommandon som använder dessa nyckelord. Genom att till exempel tillåta åtkomst till kommandot show ip route ger också tillgång till show och show ip kommandon.

Observera att om en administratör måste skapa ett användarkonto som har åtkomst till de flesta men inte alla kommandon, måste specifikt konfigureras varje kommando samt behörighetsnivåer som är lägre än 15.