3 votes

raffialli avatar

Différents niveaux de commandes de configuration pour différents utilisateurs

Demandé el 5 de Novembre, 2011
Quand la question a-t-elle été
235 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'aimerais autoriser le personnel junior à apporter certaines modifications à la configuration de nos routeurs Cisco. Je n'aime pas trop devoir divulguer le mot de passe enable, mais si je peux au moins les limiter à quelques commandes de configuration, je me sentirai mieux.

Ils doivent simplement être en mesure d'ajuster une déclaration NAT/PAT dans la configuration. Ils devront donc être en mesure de faire ce qui suit, par exemple :

no ip nat inside source static tcp 192.168.1.**1** 9100 1.1.1.1 9101

ip nat inside source static tcp 192.168.1.**2** 9100 1.1.1.1 9101

Existe-t-il un moyen de les limiter à ce type de commandes ? Les routeurs sont des Cisco 1941 fonctionnant sous IOS ver 15.0.

Demandé el 5 de Novembre, 2011 par raffialli

Réponses

Trop de publicités?

3voto

blankabout avatar
blankabout Points 1004

Vous devez faire passer le niveau de privilège des commandes du niveau par défaut 15 (enable) à un niveau inférieur, puis donner à chaque nom d'utilisateur un niveau de privilège suffisant pour exécuter ces commandes.

Quelque chose comme ça devrait faire l'affaire :

privilege configure level 6 ip nat
privilege configure level 6 ip
privilege exec level 6 configure terminal
privilege exec level 6 configure
username junior privilege 6 password 0 juniorpass
Répondu el 5 de Novembre, 2011 par blankabout (1004 Points )

1voto

Hurda avatar
Hurda Points 614

En fonction de la taille de votre groupe, Cisco produit un produit pour faire exactement cela, appelé Système de contrôle d'accès sécurisé Cisco . En fait, les administrateurs se connectent aux routeurs en utilisant leurs propres comptes personnels, et chaque fois qu'ils exécutent une commande, le routeur demande à ACS si cette personne est autorisée à exécuter cette commande. Ainsi, vous pouvez être extrêmement granulaire dans ce que les administrateurs sont autorisés à faire, tout en vous donnant la possibilité, dans le cas d'une situation malheureuse, de fermer leur accès à tout moment. Il peut être complété par RADIUS, pour une authentification centralisée par rapport à des sources telles que Active Directory.

Répondu el 23 de Novembre, 2011 par Hurda (614 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X