1 簡介
本文件闡述如何更改某些命令的權限級別,並舉例說明了路由器與TACACS +和RADIUS服務器的配置模板。
本文件闡述如何更改某些命令的權限級別,並舉例說明了路由器與TACACS +和RADIUS服務器的配置模板。
2 先決條件
2.1 需求
閱讀此文的讀者最好熟悉路由器權限級別的相關知識。
默認情況下,路由器有三個級別的特權。
• privilege level 1 默認登錄級別,提示符是Router>
• privilege level 15 特權模式,提示符是路Router#
• privilege level 0 很少使用,包括5個命令:disable、enable、exit、help和logout
2-14級通常不用作默認配置,正常情況下15級權限可以降低到2-14級,1級權限可以提升到2-14級。很顯然,這也涉及到路由器安全管理。
要查看登錄用戶權限級別,鍵入show privilege命令即可。要確定什麼命令可在你使用的Cisco IOS版本的特定權限級別可用,在你以特定權限登入命令行後輸入?即可查看。
注:你可以使用TACACS+認證服務器代替權限分級授權,但RADIUS協議不支持的命令授權。
2.2 常用組件
本文內容只支持Cisco IOS 11.2或更高版本。
本文中的配置信息是在特定的實驗室環境的設備上的執行的,這些所有的設備使用的都是默認配置。 如果您要應用到正在使用的網絡中,在使用以下配置前請確保瞭解其中潛在的風險。
2.3 協議
欲瞭解更多的文檔協議,請查閱:[url]http://www.cisco.com/en/US/tech/tk801/tk36/technologies_tech_note09186a0080121ac5.shtml[/url]
3 範例
在這個例子中,snmp-server命令從默認特權級別15降至7 級。ping命令從權限級別1上升至7級權限。當用戶身份被驗證後,該用戶由服務器分配7的權限級別,用show privileges命令查看顯示“Current privilege level is 7”,此時用戶就可以在配置模式執行ping和snmp-server命令,而其它配置命令是不可用的。
3.1 配置路由器
Router - 11.2
aaa new-model
aaa authentication login default tacacs+|radius local aaa authorization exec tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
Router - 11.3.3.T and Later (until 12.0.5.T)
aaa new-model
aaa authentication login default tacacs+|radius local aaa authorization exec default tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
Router - 12.0.5.T and Later
aaa new-model
aaa authentication login default group tacacs+|radius local aaa authorization exec default group tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
2.1 需求
閱讀此文的讀者最好熟悉路由器權限級別的相關知識。
默認情況下,路由器有三個級別的特權。
• privilege level 1 默認登錄級別,提示符是Router>
• privilege level 15 特權模式,提示符是路Router#
• privilege level 0 很少使用,包括5個命令:disable、enable、exit、help和logout
2-14級通常不用作默認配置,正常情況下15級權限可以降低到2-14級,1級權限可以提升到2-14級。很顯然,這也涉及到路由器安全管理。
要查看登錄用戶權限級別,鍵入show privilege命令即可。要確定什麼命令可在你使用的Cisco IOS版本的特定權限級別可用,在你以特定權限登入命令行後輸入?即可查看。
注:你可以使用TACACS+認證服務器代替權限分級授權,但RADIUS協議不支持的命令授權。
2.2 常用組件
本文內容只支持Cisco IOS 11.2或更高版本。
本文中的配置信息是在特定的實驗室環境的設備上的執行的,這些所有的設備使用的都是默認配置。 如果您要應用到正在使用的網絡中,在使用以下配置前請確保瞭解其中潛在的風險。
2.3 協議
欲瞭解更多的文檔協議,請查閱:[url]http://www.cisco.com/en/US/tech/tk801/tk36/technologies_tech_note09186a0080121ac5.shtml[/url]
3 範例
在這個例子中,snmp-server命令從默認特權級別15降至7 級。ping命令從權限級別1上升至7級權限。當用戶身份被驗證後,該用戶由服務器分配7的權限級別,用show privileges命令查看顯示“Current privilege level is 7”,此時用戶就可以在配置模式執行ping和snmp-server命令,而其它配置命令是不可用的。
3.1 配置路由器
Router - 11.2
aaa new-model
aaa authentication login default tacacs+|radius local aaa authorization exec tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
Router - 11.3.3.T and Later (until 12.0.5.T)
aaa new-model
aaa authentication login default tacacs+|radius local aaa authorization exec default tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
Router - 12.0.5.T and Later
aaa new-model
aaa authentication login default group tacacs+|radius local aaa authorization exec default group tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
3.2 配置服務器
Cisco Secure NT TACACS+
按照以下步驟配置服務器:
1.輸入用戶名和密碼。
2.在組設置中,務必檢查shell/exec,而且確認7已經被輸入權限級別列表。
TACACS+ - Stanza in Freeware Server
Stanza in TACACS+ freeware:
user = seven {
login = cleartext seven
service = exec {
priv-lvl = 7
}
}
Cisco Secure UNIX TACACS+
user = seven {
password = clear "seven"
service = shell {
set priv-lvl = 7
}
}
Cisco Secure NT RADIUS
按照以下步驟配置服務器:
1.輸入用戶名和密碼。
2.在IETF的組設置中,Service-type(屬性6)=Nas-Prompt
3.在Cisco RADIUS區域,檢查AV-Pair,並在對話框下輸入shell:priv-lvl=7
Cisco Secure UNIX RADIUS
user = seven{
radius=Cisco {
check_items= {
2="seven"
}
reply_attributes= {
6=7
9,1="shell:priv-lvl=7"
}
}
}
用戶文件的用戶名是“seven”
注:服務器必須支持Cisco av-pairs。
• seven密碼= passwdxyz
• Service-type = shell-user
• Cisco avpair = shell:priv-lvl=7
Cisco Secure NT TACACS+
按照以下步驟配置服務器:
1.輸入用戶名和密碼。
2.在組設置中,務必檢查shell/exec,而且確認7已經被輸入權限級別列表。
TACACS+ - Stanza in Freeware Server
Stanza in TACACS+ freeware:
user = seven {
login = cleartext seven
service = exec {
priv-lvl = 7
}
}
Cisco Secure UNIX TACACS+
user = seven {
password = clear "seven"
service = shell {
set priv-lvl = 7
}
}
Cisco Secure NT RADIUS
按照以下步驟配置服務器:
1.輸入用戶名和密碼。
2.在IETF的組設置中,Service-type(屬性6)=Nas-Prompt
3.在Cisco RADIUS區域,檢查AV-Pair,並在對話框下輸入shell:priv-lvl=7
Cisco Secure UNIX RADIUS
user = seven{
radius=Cisco {
check_items= {
2="seven"
}
reply_attributes= {
6=7
9,1="shell:priv-lvl=7"
}
}
}
用戶文件的用戶名是“seven”
注:服務器必須支持Cisco av-pairs。
• seven密碼= passwdxyz
• Service-type = shell-user
• Cisco avpair = shell:priv-lvl=7
其實上面內容中前面的基本都是廢話,英文的技術文檔總是廢話連篇。對於部分的技術內容我也不是很熟悉,最近工作有涉及相關的東西,所以翻譯過來看看。不對的地方還請大家指正!