Comment affecter des niveaux de privilège avec TACACS+ et RADIUS

Options de téléchargement

  • PDF     (91.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (71.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (71.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:26 février 2008
ID du document:13860

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document explique comment modifier le niveau de privilège pour certaines commandes, et fournit à un exemple de configuration pour un routeur et des serveurs TACACS+ et RADIUS.

Conditions préalables

Conditions requises

Les lecteurs de ce document devraient avoir connaissance des niveaux de privilège sur un routeur.

Par défaut, il y a trois niveaux de privilèges sur le routeur :

  • niveau de privilège 1 = non-privilégié (l'invite indique router>), niveau par défaut pour se connecter

  • le niveau de privilège 15 = a favorisé (l'invite indique router#), niveau après être entré en mode activer

  • le niveau de privilège 0 = rarement utilisé, mais inclut 5 commandes : désactiver, activer, quitter, aide et déconnexion

Des niveaux 2-14 ne sont pas utilisés dans la configuration par défaut, mais des commandes qui sont normalement au niveau 15 peuvent être configurées à une de ces niveaux, et les commandes qui sont normalement au niveau 1 peuvent être relevées à l'un de ces niveaux. Évidemment, ce modèle de Sécurité signifie une certaine gestion du routeur.

Pour déterminer le niveau de privilège en tant qu'utilisateur connecté, introduisez la commande de montrer privilège. Pour déterminer quelles commandes sont disponibles à un niveau de privilège particulier pour la version du logiciel de Cisco IOS® que vous utilisez, saisissez ? à la ligne de commande une fois connecté à ce niveau de privilège.

Remarque: Au lieu d'attribuer des niveaux de privilège, vous pouvez exécuter l'autorisation de commande si le serveur d'authentification prend en charge TACACS+. Le protocole RADIUS ne prend en charge pas l'autorisation de commande.

Composants utilisés

Les informations de ce document sont basées sur les versions de logiciel Cisco IOS 11.2 et ultérieures.

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Conventions

Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Exemple

Dans cet exemple, des commandes de snmp-server sont changées du niveau de privilège 15 (le routage par défaut) au niveau de privilège 7. La commande ping est relevée du niveau de privilège 1 au niveau 7. Quand l'utilisateur sept est authentifié, cet utilisateur est attribué le niveau de privilège 7 par le serveur, et le niveau de privilège actuel d'affiche le privilège « 7." L'utilisateur peut exécuter une commande ping et faire la configuration de snmp-server dans le mode de configuration. D'autres commandes de configuration ne sont pas disponibles.

Configurations - Routeur

Routeur - 11.2 

aaa new-model
aaa authentication login default tacacs+|radius local
aaa authorization exec tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

Routeur - 11.3.3.T et versions ultérieures (jusqu'à 12.0.5.T) 

aaa new-model
aaa authentication login default tacacs+|radius local
aaa authorization exec default tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

Routeur - 12.0.5.T et versions ultérieures 

aaa new-model
aaa authentication login default group tacacs+|radius local
aaa authorization exec default group tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

Configurations - Serveur

Cisco Secure NT TACACS+

Suivez ces étapes pour configurer le serveur.

  1. Complétez le nom d'utilisateur et mot de passe.

  2. Dans des paramètres de groupe, assurez-vous que shell/exec est coché et 7 saisi dans la case de niveau de privilège.

TACACS+ - Strophe dans le serveur gratuit 

Stanza in TACACS+ freeware:
user = seven {
login = cleartext seven
service = exec {
priv-lvl = 7
}
}

Cisco Secure UNIX TACACS+ 

user = seven {
password = clear "seven"
service = shell {
set priv-lvl = 7
}
}

Cisco Secure NT RADIUS

Suivez ces étapes pour configurer le serveur.

  1. Saisissez le nom d'utilisateur et mot de passe.

  2. Dans les paramètres de groupe pour l'IETF, Service-type (attribut 6) = Nas-Invite

  3. Dans la zone CiscoRADIUS, cochez AV-Pair et dans la zone rectangulaire dessous, saisissez shell:priv-lvl=7.

Cisco Secure UNIX RADIUS 

user = seven{
radius=Cisco {
check_items= {
2="seven"
} 
reply_attributes= {
6=7
9,1="shell:priv-lvl=7"
} 
} 
}

C'est le fichier utilisateur pour le nom d'utilisateur « sept. »

Remarque: Le serveur doit prendre en charge Cisco av-pairs.

  • mot de passe sept = passwdxyz

  • Type de service = Shell-User

  • cisco-avpair =shell:priv-lvl=7

Informations connexes

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco