IOS-prioriteitsniveau's kunnen niet volledig actieve configuratie zien

Downloadopties

  • PDF     (86.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (86.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (71.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 januari 2008
Document-id:23383

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document verklaart hoe de privilege-niveaus het vermogen van een gebruiker beïnvloeden om bepaalde opdrachten op een router uit te voeren.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Bekijk de routerconfiguratie

Wanneer de toegang tot de router is ingesteld door voorkeursniveaus, is een algemeen probleem dat de show run- of schrijfterminalopdrachten zijn ingesteld op of onder het voorkeursniveau van de gebruiker. Wanneer de gebruiker de opdracht uitvoert, lijkt de configuratie leeg te zijn. Dit is eigenlijk door het ontwerp om deze redenen:

  • Het schrijf terminal / show in werking stellen -configuratie bevel toont een blanco configuratie. Deze opdracht geeft alle opdrachten weer die de huidige gebruiker kan wijzigen (met andere woorden, alle opdrachten op of onder het huidige voorkeursniveau van de gebruiker). De opdracht mag vanwege beveiligingsoverwegingen niet boven het huidige voorkeursniveau van de gebruiker worden weergegeven. Als dit zo is, zouden commando's zoals de SNMP server community gebruikt kunnen worden om de huidige configuratie van de router aan te passen en volledige toegang tot de router te verkrijgen.

  • Het tonen/tonen start-up configuratie bevel toont een volledige configuratie, maar toont niet echt de eigenlijke configuratie. In plaats daarvan drukt de opdracht simpelweg de inhoud van NVRAM af, wat toevallig de configuratie van de router is op het moment dat de gebruiker een schrijfgeheugen doet.

Niveaus

Om een geprivilegieerde gebruiker in staat te stellen om de gehele configuratie in het geheugen te bekijken, moet de gebruiker rechten wijzigen voor alle opdrachten die op de router zijn ingesteld. Bijvoorbeeld:

aaa new-model
aaa authentication login default local
aaa authorization exec default local

username john privilege 9 password 0 doe
username six privilege 6 password 0 six
username poweruser privilege 15 password poweruser
username inout password inout
username inout privilege 15 autocommand show running

privilege configure level 8 snmp-server community 
privilege exec level 6 show running 
privilege exec level 8 configure terminal

Om dit voorbeeld te begrijpen, is het nodig om de voorrechten van verschillende kanten te begrijpen. Standaard zijn er drie opdrachtniveaus op de router:

  • bevoorrechtingsniveau 0 — Omvat de opdrachten voor uitschakelen, inschakelen, afsluiten, helpen en uitloggen.

  • bevoorrechtingsniveau 1 — Normaal niveau op telnet; omvat alle opdrachten op gebruikersniveau op de router>prompt.

  • bevoorrechtingsniveau 15 — Omvat alle machtigingsvlakke opdrachten op de router# prompt.

Opdrachten beschikbaar op een bepaald niveau in een bepaalde router kunnen worden gevonden door een type te typen? bij de routermelding. Opdrachten kunnen worden verplaatst tussen bevoorrechtingsniveaus met behulp van de opdracht privilege, zoals in het voorbeeld wordt geïllustreerd. Hoewel dit voorbeeld lokale authenticatie en autorisatie toont, werken de opdrachten even voor TACACS+ of RADIUS-verificatie en snelle autorisatie (kan meer granulariteit in de controle van de router worden bereikt met de implementatie van een TACACS+ commando-autorisatie met een server.)

Aanvullende gegevens over de gebruikers en de voorrechten die in het voorbeeld worden gepresenteerd:

  • Gebruiker zes is in staat om in te tellen en de opdracht show run uit te voeren, maar de resulterende configuratie is vrijwel leeg omdat deze gebruiker niets kan configureren (configureer terminal op niveau 8, niet op niveau 6). De gebruiker is niet toegestaan gebruikersnamen en wachtwoorden van de andere gebruikers te zien of de informatie in Simple Network Management Protocol (SNMP) te zien.

  • Gebruiker john kan in telnet en de show run opdracht uitvoeren, maar ziet alleen opdrachten die hij kan configureren (het SNMP-server community deel van de routerconfiguratie, omdat deze gebruiker onze netwerkbeheerbeheerder is). Hij kan de snmp-server gemeenschap vormen omdat de configuratie terminal op niveau 8 (op of onder niveau 9) is, en snmp-server community een opdracht van niveau 8. De gebruiker mag geen gebruikersnamen en wachtwoorden van de andere gebruikers zien, maar hij is vertrouwd met de SNMP-configuratie.

  • Gebruiker inout is in staat om te tellen en ziet, door voor automatische opdrachtweergave ingesteld te zijn, de configuratie weergegeven maar wordt daarna losgekoppeld.

  • Gebruiker machtigingsgebruiker is in staat om in te tellen en de opdracht Show run uit te voeren. Deze gebruiker bevindt zich op niveau 15 en kan alle opdrachten zien. Alle opdrachten bevinden zich op of onder niveau 15; gebruikers op dit niveau kunnen ook gebruikersnamen en wachtwoorden bekijken en controleren .

Gerelateerde informatie

Was dit document nuttig?

FeedbackFeedback

Contact Cisco