Rollbaserade CLI åtkomst

I ett försök att ge mer flexibilitet än vad Privilege Levels tillåter, introducerade Cisco den rollbaserade CLI-åtkomstfunktionen i Cisco IOS Release 12.3(11)T. Den här funktionen ger mer detaljerad åtkomstbehörigheter genom att styra vilka kommandon som är tillgängliga för specifika roller.

Rollbaserad CLI-åtkomst gör det möjligt för nätverksadministratören att skapa olika vyer av routerkonfigurationer för olika användare. Varje vy definierar de CLI-kommandon som varje användare kan komma åt.

Rollbaserad CLI-åtkomst ökar säkerheten för nätverkshanterare genom att definiera uppsättningen CLI-kommandon som är tillgängliga för en specifik nätverksadministratör. Dessutom kan nätverksadministratörer med högre behörighet kontrollera åtkomst till specifika portar, logiska interface och delar på en router. Detta förhindrar andra nätverksadministratörer med lägre behörighet göra misstag eller ändra felaktigt en konfiguration eller samla in information som man inte borde ha tillgång till. Nätverksadministratören med specifika behörigheter ser bara de CLI-kommandon som är tillämpliga på de portar och CLI som de har åtkomst till. Därför verkar routern vara mindre komplex och kommandon är lättare att identifiera.

Ansvarsfördelningar kan organiseras bättre med rollbaserad CLI-åtkomst, till exempel:

Säkerhetsansvarigas åtkomstbehörigheter

  • Konfigurera AAA
  • Exekvera show kommandon
  • Konfigurera brandvägg
  • Konfigurera IDS/IPS
  • Konfigurera Netflow

WAN nätverksingenjörer

  • Konfigurera routing
  • Konfigurera interface
  • Exekvera show kommandon

Rollbaserade vyer – Views

Rollbaserad CLI tillhandahåller tre typer av vyer som dikterar vilka kommandon som är tillgängliga:

  • Root View – För att konfigurera valfri vy för systemet måste nätverksadministratören vara i root view. Denna vy har åtkomstbehörighet 15. En root view är dock inte detsamma som en nätverksadministratör på nivå 15. Endast en nätverksadministratör som tilldelats root view rollen kan konfigurera en ny vy och lägga till eller ta bort kommandon från befintliga vyer.
  • CLI View – Till skillnad från behörighetsnivåer har en CLI view ingen kommandohierarki och inga högre eller lägre vyer. Varje vy måste tilldelas alla kommandon som är associerade med den specifika vyn. En vy ärver inte kommandon från någon annan vy. Dessutom kan samma kommandon användas i flera vyer.
  • SuperviewEn Superview består av en eller flera CLI-vyer. Nätverksadministratörer kan definiera vilka kommandon som accepteras och vilken konfigurationsinformation som är synlig. Superview tillåter en nätverksadministratör att tilldela användare (till exempel nätverkstekniker) och grupper av användare flera CLI-vyer samtidigt, istället för att behöva tilldela en enda CLI view per användare med alla kommandon som är associerade med den ena CLI view.

Superview har flera specifika egenskaper:

    • En enda CLI view kan delas mellan flera Superview.
    • Kommandon kan inte konfigureras för en Superview. En nätverksadministratör måste lägga till kommandon i CLI view och lägga till den CLI view i en Superview.
    • Nätverksadministratörer som är inloggade i en Superview kan komma åt alla kommandon som är konfigurerade för någon av de CLI-vyer som är en del av Superview.
    • Varje Superview har ett lösenord som används för att växla mellan superview eller från en CLI view till en Superview.
    • Att ta bort en Superview innebär inte att ingående CLI view tas bort också. CLI-vyerna förblir tillgängliga för att tilldelas en annan Superview.

Observera att Superview 1 och 2 innehåller View och inte kommando.

Konfigurering av rollbaserade vyer

Först ska AAA protokollet aktiveras, aaa new-model. För att få konfigurera och redigera vyer måste en nätverksadministratör vara inloggad som root view, det görs med kommandot enable view.

Det finns fem steg för att skapa och hantera en specifik vy:

  1. Aktivera AAA med kommandot aaa new-model. Från det priviligierat exekveringsläget exekvera kommandot enable view för att gå in i den rollen.
  2. Skapa en vy, från det globala konfigurationsläget, med hjälp av kommandot för parser view view-name. Detta aktiverar läget där vyer kan konfigureras. Förutom root view finns det en maximal gräns på 15 view totalt.
  3. Tilldela vyn ett hemligt krypterat lösenord med kommandot secret encrypted-password.
  4. Tilldela IOS-kommandon till den valda vyn med kommandot commands parser-mode.
  5. Avsluta view-konfigurationen genom att exekvera kommandot exit.

Under arbete . . . . . . .

visningskonfigurationsläget genom att skriva kommandot exit.
Figur 4 ger ett exempel på konfiguration av tre vyer. Lägg märke till i exemplet att det hemliga kommandot endast stöder MD5-kryptering (typ 5). Observera också att ett fel inträffade när ett kommando lades till i en vy innan lösenordet tilldelades. Figur 5 visar de konfigurerade vyerna i den pågående konfigurationen.
Använd syntaxkontrollen i figur 6 för att konfigurera vyer på R2.
Konfigurera vyer – Steg 1
Router# aktivera [visa [visa namn]]
• Detta kommando används för att komma in i CLI-vyn. Ange namnroten eller ett specifikt vynamn. Om inget namn anges antas root.
• Du måste konfigurera ett kommando för ny modell innan du går in i en vy
Konfigurera vyer – Steg 2 och 3
Router(config)# parser view view-name (skapar en vy och går in i vykonfigurationsläget.
Router(config-view)# hemligt krypterat lösenord
• Ställer in ett lösenord för att skydda åtkomst till vyn
• Lösenord måste skapas omedelbart efter att en vy skapats; annars visas ett felmeddelande.
Konfigurera vyer – Steg 4
Router(config-view)# kommandon parserläge {inkludera | inkluderar-exklusivt | exclude} [alla] [gränssnittsgränssnittsnamn | kommando]
• Lägger till kommandon eller gränssnitt till en vy
Konfigurera vyer på R2
R2(config)# aaa ny modell
R2(config)#
Skapa en vy som heter SHOWVIEW
• Tilldela vyn lösenordet cisco.
• Tillåt vyn att använda alla EXEC-kommandon som börjar med show
• Efter konfiguration, återgå till globalt konfigurationsläge
R2(config)# parservy SHOWVIEW
R2(configconfig-view)# hemligt cisco
R2(config-view)# kommandon exec inkluderar show
R2(config-view)# avsluta
R2(config)#
Skapa en vy som heter VERIFYVIEW
• Tilldela vyn lösenordet cisco5
• Tillåt vyn att använda kommandot ping
• Efter konfiguration, återgå till globalt konfigurationsläge.
R2(config)# parservy VERIFYVIEW
R2(config-view)# hemlig cisco5
R2(config-view)# kommandon exec inkluderar ping
R2(config-view)# avsluta
R2(config)#
Skapa en vy som heter REBOOTVIEW
• Tilldela vyn lösenordet cisco10
• Tillåt vyn att använda kommandot ladda om
• Efter konfiguration, återgå direkt till privilegierat EXEC-läge.
R2(config)# parservy REBOOTVIEW
R2(config-view)# hemlig cisco10
R2(config-view)# kommandon exec inkluderar reload
R2(config-view)# end
R2#
Kontrollera
R2#show running-config | sektionsparser

Konfigurera rollbaserade CLI Superviews
Stegen för att konfigurera en superview är i huvudsak desamma som att konfigurera en CLI-vy, förutom att kommandot view view-name används för att tilldela kommandon till superviewen. Administratören måste vara i rotvyn för att konfigurera en supervy. För att bekräfta att rotvyn används, använd antingen kommandot enable view eller enable view root. När du uppmanas, ange det hemliga lösenordet.
Det finns fyra steg för att skapa och hantera en supervy:
Steg 1. Skapa en vy med hjälp av kommandot tolkvy view-name superview och gå in i superview-konfigurationsläget.
Steg 2. Tilldela vyn ett hemligt lösenord med kommandot hemligt krypterat lösenord. Figur 1 visar kommandosyntaxen för översikten av parservyn och de hemliga kommandona.
Steg 3. Tilldela en befintlig vy med kommandot view view-name i vykonfigurationsläget. Figur 2 visar kommandosyntaxen för kommandot view.
Steg 4. Avsluta superview-konfigurationsläget genom att skriva exit-kommandot.
Mer än en vy kan tilldelas en supervy och vyer kan delas mellan supervyer. Figur 3 ger ett exempel på att konfigurera tre supervyer: ANVÄNDARE, SUPPORT och JR-ADMIN. Figur 4 visar de konfigurerade översikterna i den pågående konfigurationen.
För att komma åt befintliga vyer anger du kommandot aktivera vy vynamn i användarläge och anger lösenordet som tilldelades den anpassade vyn. Använd samma kommando för att växla från en vy till en annan.
Använd Syntax Checker i figur 5 för att konfigurera superviews på R2.
Konfigurerar
Superviews – Steg 1 och 2
Router(config)# parser view view-name superview
Router (config-view)# hemligt krypterat lösenord
Lösenord måste skapas omedelbart efter att en vy skapats; annars visas ett felmeddelande.
Konfigurera övervakningar – Steg 3
Router (config-view)# view view-name
• Lägger till en CLI-vy till en supervy
• Flera vyer kan läggas till
• Vyer kan delas mellan supervyer
Exempel på konfigurering av Superviews
Konfigurera Super-views på R2
• Skapa en översikt över lösenordet cisco
• Tilldela den SHOWVIEW-vyn
• Efter konfiguration, återgå till globalt konfigurationsläge.
R2(config)# parservy ANVÄNDARöversikt
R2(config-view)# hemlig cisco
R2(config-view)# visa SHOWVIEW
R2(config-view)#avsluta
R2(config)#
Skapa en supervy som heter SUPPORT
• Tilldela superview lösenordet cisco1
• Tilldela den SHOWVIEW-vyn
• Tilldela den VERIFYVIEW-vyn
• Efter konfiguration, återgå till globalt konfigurationsläge
R2(config)# parservy SUPPORT supervy
R2(config-view)# hemlig cisco1
R2(config-view)# visa SHOWVIEW
R2(config-view)# view VERIFYVIEW
R2(config-view)# avsluta
Skapa en supervy som heter JR-ADMIN
• Tilldela superview lösenordet cisco2
• Tilldela den SHOWVIEW-vyn.
• Tilldela den VERIFYVIEW-vyn
• Tilldela den REBOOTVIEW-vyn
• Efter konfiguration, återgå till privilegiet EXEC-läge.
R2(config)# parservy JR-ADMIN supervy
R2(config-view)# hemlig cisco2
R2(config-view)# visa SHOWVIEW
R2(config-view)# view VERIFYVIEW
R2(config-view)# view REBOOTVIEW
R2(config-view)# end
R2#
R2# show running-config | sektionsöversikt
Verifiera rollbaserade CLI-vyer
För att verifiera en vy, använd kommandot enable view. Ange namnet på vyn för att verifiera och ange lösenordet för att logga in på vyn. Använd kommandot frågetecknet (?) för att verifiera att de kommandon som finns tillgängliga i vyn är korrekta.
Figur 1 aktiverar USER superview och listar de kommandon som är tillgängliga i vyn.
Figur 2 aktiverar SUPPORT-översikten och listar de kommandon som är tillgängliga i vyn.
Figur 3 aktiverar JR-ADMIN-vyn och listar de kommandon som är tillgängliga i vyn.
Genom att inte ange en vy för kommandot enable view, som visas i figur 4, kan du logga in som root. Från rotvyn, använd kommandot show parser view all för att se en sammanfattning av alla vyer. Lägg märke till hur asterisken identifierar supervyer.
Verifiera USER-vyn
Verifiera SUPPORT-vyn
Verifiera JR-ADMIN-vyn
Aktivera rotvy och verifiera alla vyer