I livelli di privilegio IOS non possono vedere la configurazione in esecuzione completa

Opzioni per il download

  • PDF     (86.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (89.0 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (74.1 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:14 gennaio 2008
ID documento:23383

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene illustrato come i livelli di privilegi influiscono sulla capacità di un utente di eseguire determinati comandi su un router.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Visualizza la configurazione del router

Quando l'accesso al router è configurato da livelli di privilegio, un problema comune è che i comandi show running o write terminal sono configurati al livello di privilegio dell'utente o a un livello inferiore. Quando l'utente esegue il comando, la configurazione risulta vuota. Questo è in realtà progettato per queste ragioni:

  • Il comando write terminal / show running-config restituisce una configurazione vuota. Tramite questo comando vengono visualizzati tutti i comandi che l'utente corrente è in grado di modificare, ovvero tutti i comandi che si trovano al livello del privilegio corrente o al di sotto di esso. Per motivi di sicurezza, nel comando non devono essere visualizzati comandi con livello di privilegi superiore a quello corrente dell'utente. In questo caso, è possibile usare comandi quali snmp-server community per modificare la configurazione corrente del router e ottenere l'accesso completo al router.

  • Il comando show config / show start-up config visualizza una configurazione completa, ma non mostra realmente la configurazione effettiva. Al contrario, il comando stampa semplicemente il contenuto della NVRAM, che corrisponde alla configurazione del router nel momento in cui l'utente esegue una memoria di scrittura.

Livelli di privilegio

Per consentire a un utente con privilegi di visualizzare l'intera configurazione in memoria, l'utente deve modificare i privilegi per tutti i comandi configurati sul router. Ad esempio:

aaa new-model
aaa authentication login default local
aaa authorization exec default local

username john privilege 9 password 0 doe
username six privilege 6 password 0 six
username poweruser privilege 15 password poweruser
username inout password inout
username inout privilege 15 autocommand show running

privilege configure level 8 snmp-server community 
privilege exec level 6 show running 
privilege exec level 8 configure terminal

Per comprendere questo esempio, è necessario conoscere i livelli di privilegi. Per impostazione predefinita, sul router sono disponibili tre livelli di comando:

  • livello di privilegio 0: include i comandi disable, enable, exit, help e logout.

  • livello di privilegio 1: livello normale su Telnet; include tutti i comandi a livello utente al prompt router>.

  • livello di privilegio 15: include tutti i comandi di abilitazione al prompt router#.

I comandi disponibili a un particolare livello in un particolare router possono essere trovati digitando ? al prompt del router. I comandi possono essere spostati tra i livelli di privilegio utilizzando il comando privilegio, come illustrato nell'esempio. Nell'esempio viene mostrata l'autenticazione e l'autorizzazione locali, ma i comandi funzionano in modo simile per l'autenticazione TACACS+ o RADIUS e l'autorizzazione di esecuzione (è possibile ottenere una maggiore granularità nel controllo del router implementando l'autorizzazione dei comandi TACACS+ con un server).

Ulteriori dettagli sugli utenti e sui livelli di privilegi illustrati nell'esempio:

  • L'utente sei è in grado di collegarsi in modalità Telnet ed eseguire il comando show run, ma la configurazione risultante è virtualmente vuota perché l'utente non può configurare nulla (configurare il terminale al livello 8 e non al livello 6). All'utente non è consentito visualizzare i nomi utente e le password degli altri utenti o le informazioni SNMP (Simple Network Management Protocol).

  • L'utente john è in grado di connettersi ed eseguire il comando show run, ma vede solo i comandi che può configurare (la community snmp-server fa parte della configurazione del router, poiché questo utente è l'amministratore della gestione della rete). Può configurare la community snmp-server perché la configurazione del terminale si trova al livello 8 (al livello 9 o inferiore) e la community snmp-server al livello 8. All'utente non è consentito visualizzare i nomi utente e le password degli altri utenti, ma è considerato attendibile nella configurazione SNMP.

  • L'utente inout è in grado di connettersi in modalità Telnet e, essendo configurato per il comando automatico show running, visualizza la configurazione visualizzata ma viene successivamente disconnesso.

  • L'utente poweruser è in grado di collegarsi in modalità Telnet ed eseguire il comando show run. Questo utente si trova al livello 15 ed è in grado di visualizzare tutti i comandi. tutti i comandi sono al livello 15 o inferiore; gli utenti di questo livello possono inoltre visualizzare e controllare i nomi utente e le password.

Informazioni correlate

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci