IOS許可權級別無法看到完整的運行配置
簡介
本檔案將說明許可權層級如何影響使用者在路由器上執行特定命令的能力。
必要條件
需求
本文件沒有特定需求。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
檢視路由器配置
當通過許可權級別配置對路由器的訪問時,一個常見的問題是配置了show running或write terminal命令等於或低於使用者的許可權級別。當使用者執行命令時,配置顯示為空白。實際上,這是出於以下原因而設計的:
-
write terminal / show running-config命令顯示空白配置。此命令顯示當前使用者能夠修改的所有命令(即,位於或低於使用者當前許可權級別的所有命令)。 出於安全考慮,該命令不應顯示高於使用者當前許可權級別的命令。如果是,則可使用snmp-server community等命令修改路由器的當前配置並獲得對路由器的完全訪問許可權。
-
show config / show start-up config命令會顯示完整配置,但不會真正顯示實際配置。相反,此命令只是輸出NVRAM的內容,這恰好是使用者執行寫記憶體時路由器的配置。
許可權級別
要使特權使用者能夠檢視記憶體中的整個配置,使用者需要修改路由器上配置的所有命令的許可權。例如:
aaa new-model aaa authentication login default local aaa authorization exec default local username john privilege 9 password 0 doe username six privilege 6 password 0 six username poweruser privilege 15 password poweruser username inout password inout username inout privilege 15 autocommand show running privilege configure level 8 snmp-server community privilege exec level 6 show running privilege exec level 8 configure terminal
要瞭解此示例,必須瞭解許可權級別。預設情況下,路由器上有三個命令層級:
-
許可權級別0 — 包括disable、enable、exit、help和logout命令。
-
許可權級別1 — Telnet上的正常級別;在router>提示符下包含所有使用者級命令。
-
privilege level 15 — 在router#提示符下包含所有enable-level命令。
通過鍵入?可以找到特定路由器中特定級別上可用的命令在路由器提示符下。可以使用privilege命令在許可權級別之間移動命令,如示例所示。雖然此範例顯示本機驗證和授權,但命令對TACACS+或RADIUS驗證和exec授權的作用類似(透過對伺服器執行TACACS+命令授權,可以實現路由器控制的更精細化。)
有關使用者和許可權級別的其他詳細資訊如示例所示:
-
使用者six可以Telnet進入並執行show run命令,但產生的配置實際上是空白的,因為此使用者無法配置任何內容(configure terminal位於級別8,而不是級別6)。 不允許使用者檢視其他使用者的使用者名稱和密碼,或檢視簡單網路管理協定(SNMP)資訊。
-
使用者john可以Telnet進入並執行show run命令,但只能看到他可以配置的命令(路由器配置中的snmp-server community部分,因為此使用者是我們的網路管理管理員)。 他能設定snmp-server community,因為configure terminal位於8級(在9級或以下),而snmp-server community是8級命令。不允許該使用者檢視其他使用者的使用者名稱和密碼,但可以信任該使用者的SNMP配置。
-
使用者inout能夠通過Telnet登入,並且由於配置為autocommand show running,因此會看到顯示的配置,但隨後會斷開連線。
-
使用者poweruser能夠遠端登入並執行show run命令。此使用者級別為15,能夠檢視所有命令。所有命令都處於或低於第15級;此級別的使用者還可以檢視和控制使用者名稱和密碼。
意見