Modulul 5: Atribuirea

rolurilor administrative

Securitatea rețelei v1.0

(NETSEC)
Obiectivele modulului
Titlul modulului : Atribuirea rolurilor administrative
Obiectivul modulului : Configurați autorizarea comenzii folosind niveluri de privilegii și CLI bazat pe roluri.
Titlul topicului
Configurați nivelurile de privilegii
Configurați CLI bazat pe roluri
Obiectivul subiectului
Utilizați comenzile corecte pentru a configura
nivelurile de privilegii administrative pentru a
controla disponibilitatea comenzilor.
Utilizați comenzile corecte pentru a configura
accesul CLI bazat pe roluri pentru a controla
disponibilitatea comenzilor.
© 2021 Cisco și/sau afiliații săi. Toate drepturile rezervate. Confidențial
Cisco 2
5.1 Configurarea nivelurilor de
privilegii

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
Configurați nivelurile de privilegii
Limitarea disponibilității comenzilor
Software-ul Cisco IOS poate oferi acces la infrastructură utilizând nivelul de privilegii sau CLI
bazat pe rol.
• În mod implicit, CLI-ul software Cisco IOS are două niveluri de acces la comenzi.
• Modul USER EXEC (nivel de privilegiu 1) și modul EXEC privilegiat (nivel de
privilegiu 15).
• Există 16 niveluri de privilegii în total.

Pentru
Comandaa atribui comenzi Descriere
unui nivel de privilegii personalizat, utilizați modul de privilegii {level
level
mode | reset} comanda modul de modul
Specifică configurare globală.
de configurare. Folosește comanda mode ? pentru a vedea o listă
completă a modurilor de configurare a routerului disponibile pe router.
level (Opțional) Permite setarea unui nivel de privilegii cu o comandă specificată.
level (Opțional) Nivelul de privilegii care este asociat cu o comandă. Puteți specifica până la 16
niveluri de privilegii, folosind numerele de la 0 la 15.
reset (Opțional) Resetează nivelul de privilegii al unei comenzi.
command (Opțional) Argument de utilizat când doriți să resetați nivelul de privilegii.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
Configurați nivelurile de privilegii
Configurarea și atribuirea nivelurilor de privilegii

Pentru a configura un nivel de privilegii cu

Router(config)# privilege mode {level
anumite comenzi, utilizați comanda privilege level | reset} command
exec level level, care este o comandă de
configurare globală.

Există două metode pentru a atribui parole

diferitelor niveluri de privilegii: Router(config)# username name privilege
• Pentru a atribui un nivel de privilegii unui level secret password
anumit utilizator, utilizați comanda
username name privilege level secret
password în terminalul de configurare Router(config)# enable secret level
globală. level password
• Pentru a atribui un nivel de privilegii unui
anumit mod EXEC, utilizați comanda
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
enable secret level în terminalul de
configurare globală.
Configurați nivelurile de privilegii
Limitări ale nivelurilor de privilegii
Utilizarea nivelurilor de privilegii are limitările sale:

• Nu există control de acces la anumite interfețe, porturi, interfețe logice și sloturi

pe un router.
• Comenzile disponibile la niveluri de privilegii inferioare sunt întotdeauna
executabile la niveluri superioare.
• Comenzile setate special la un nivel de privilegii mai înalt nu sunt disponibile
pentru utilizatorii cu privilegii mai mici.
• Atribuirea unei comenzi cu mai multe cuvinte cheie permite accesul la toate
comenzile care folosesc acele cuvinte cheie. De exemplu, permiterea accesului
la show ip route permite utilizatorului accesul la toate comenzile show și
show ip .

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
5.2 Configurați CLI bazat pe
roluri

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Configurați CLI bazat pe roluri
Acces CLI bazat pe roluri

Caracteristica Cisco IOS Release 12.3(11)T oferă un acces mai fin și mai granular,
controlând ce comenzi sunt disponibile pentru anumite roluri.

Accesul CLI bazat pe roluri permite administratorului de rețea să creeze diferite vederi
ale configurațiilor routerului pentru diferiți utilizatori.

Fiecare vizualizare definește comenzile CLI pe care le poate accesa fiecare utilizator.

Se referă la securitate, disponibilitate și eficiență operațională.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
Configurați CLI bazat pe roluri
Vizualizări bazate pe roluri
CLI bazat pe roluri oferă trei tipuri de vederi care dictează ce comenzi sunt disponibile:
• Vizualizare rădăcină - Pentru a configura orice vizualizare pentru sistem, administratorul
trebuie să fie în vizualizarea rădăcină.
• Vizualizare CLI - Un set specific de comenzi poate fi grupat într-o vizualizare CLI.
• Supervizualizare - O supraveghere constă dintr-una sau mai multe vizualizări CLI.

Superviziunile au mai multe caracteristici specifice:

• O singură vizualizare CLI poate fi partajată în mai multe supervizualizări.
• Comenzile nu pot fi configurate pentru o supraveghere. Un administrator trebuie să adauge
comenzi la vizualizarea CLI și să adauge acea vizualizare CLI la supervizualizare.
• Utilizatorii care sunt conectați la o supervizualizare pot accesa toate comenzile care sunt
configurate pentru oricare dintre vizualizările CLI care fac parte din supervizualizare.
• Fiecare supervizualizare are o parolă care este utilizată pentru a comuta între
supervizualizări sau de la o vizualizare CLI la o vizualizare.
• Ștergerea unei supervizualizări nu șterge vizualizările CLI asociate. Vizualizările CLI rămân
disponibile pentru a fi atribuite unei alte supervizualizări.
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
Configurați CLI bazat pe roluri
Configurați vizualizările bazate pe roluri

Există cinci pași pentru a crea și gestiona o anumită

vizualizare.
Pasul 1. Activați AAA cu comanda
terminalului de configurare globală aaa
new-model . Ieșiți și intrați în vizualizarea Router# aaa new-model
Router# enable [view [view-name]]
rădăcină cu comanda enable view .

Pasul 2. Creați o vizualizare folosind

parser view view-name comanda modului Router(config)# parser view view-name
de configurare globală. Aceasta activează
modul de configurare a vizualizării.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Configurați CLI bazat pe roluri
Configurați vizualizările bazate pe roluri (continuare)

Pasul 3. Atribuiți o parolă secretă

Router(config-view)# secret password
vizualizării folosind comanda modului de
configurare a vizualizărilor secret
password .

Pasul 4. Atribuiți comenzi la vizualizarea Router(config-view)# commands

selectată folosind comanda commands parser-mode {include |
parser-mode în terminalul de configurare a include-exclusive | exclude} [all]
[interface interface-name | command]
vizualizării.

Pasul 5. Ieșiți din terminalul de configurare

a vizualizarii tastând comanda exit.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
Configurați CLI bazat pe roluri
Configurați vizualizările bazate pe roluri (continuare)
Mai jos este o listă de comenzi și descrierea.
Comenzi Descriere
commands Adaugă comenzi sau interfețe la o vizualizare.
parser-mode Modul în care există comanda specificată; de exemplu, modul EXEC.
include Adaugă o comandă sau o interfață la vizualizare și permite ca aceeași comandă sau
interfață să fie adăugată la alte vizualizări.
include-exclusive Adaugă o comandă sau o interfață la vizualizare și exclude aceeași comandă sau interfață
de a fi adăugată la toate celelalte vizualizări.
exclude Exclude o comandă sau o interfață din vizualizare.
All Un „wildcard” care permite fiecărei comenzi dintr-un mod de configurare specificat care
începe cu același cuvânt cheie sau fiecare subinterfață pentru o interfață specificată să facă
parte din vizualizare.
interface Interfață care este adăugată la vizualizare.
interface-name
command Comanda care este adăugată la vizualizare. © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
Configurați CLI bazat pe roluri
Laborator – Configurați rolurile administrative
În acest laborator, veți îndeplini următoarele obiective:
• Partea 1: Configurați setările de bază ale dispozitivului.
• Partea 2: Configurați rolurile administrative.
Faceți click aici pentru a accesa laboratorul.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
Configurați CLI bazat pe roluri
Configurați superviziunile CLI bazate pe roluri

Pașii de configurare a unei supervizuări sunt în esență aceiași cu configurarea unei vizualizări
CLI, cu excepția faptului că comanda view view-name este utilizată pentru a atribui comenzi
supervizualizării.

Pasul 1 . Creați o vizualizare folosind comanda Router(config)# parser view view-name

vizualizarea parserului nume-vizualizare superview

superview și intrați în modul de configurare a

supravegherii.
Router(config-view)# secret password
Pasul 2. Atribuiți o parolă secretă vizualizării
folosind comanda secret password. Aceasta
setează o parolă pentru a proteja accesul la
supraveghere. © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Configurați CLI bazat pe roluri
Configurați superviziunile CLI bazate pe roluri (continuare)

Pasul 3. Atribuiți o vizualizare

Router(config-view)# view view-name
existentă folosind comanda view
nume-vizualizare în modul de
configurare a vizualizării. Aceasta
adaugă o vizualizare CLI la
supraveghere.

Pasul 4. Ieșiți din modul de

configurare a supravegherii tastând
comanda de exit .

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Configurați CLI bazat pe roluri
Verificați vizualizările CLI bazate pe roluri
Pentru a verifica o vizualizare, utilizați comanda enable view view-name . Introduceți numele
vizualizării pentru a verifica și furnizați parola pentru a vă conecta la vizualizare. Utilizați comanda
semnului întrebării ( ? ) pentru a verifica dacă comenzile disponibile în vizualizare sunt corecte.
Exemplul activează supravegherea USER și listează comenzile disponibile în vizualizare.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Configurați CLI bazat pe roluri
Verificați vizualizările CLI bazate pe roluri (continuare)
Exemplul de mai jos activează supravegherea SUPPORT și listează comenzile disponibile în
vizualizare.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Configurați CLI bazat pe roluri
Verificați vizualizările CLI bazate pe roluri (continuare)
Acest exemplu activează vizualizarea JR-ADMIN și listează comenzile disponibile în vizualizare .

Dacă nu specificați o vizualizare pentru comanda enable view , vă puteți conecta ca root. Din
vizualizarea rădăcină, utilizați comanda show parser view all pentru a vedea un rezumat al
tuturor vizualizărilor . © 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
5.3 Rezumatul atribuirii
rolurilor administrative

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
Rezumatul atribuirii rolurilor administrative
Ce am învățat în acest modul?
• Software-ul IOS acceptă două metode de acces la infrastructură: nivel de privilegii
și CLI bazat pe roluri.
• În mod implicit, există modul User EXEC (nivelul de privilegiu 1) și modul EXEC
privilegiat (nivelul 15).
• Cu cât este mai mare nivelul de privilegii, cu atât mai mult acces la router are un
utilizator.
• Pentru a atribui o comandă la un nivel de privilegii, utilizați nivelul de privilegiu
exec [ comandă ].
• Utilizați comanda nume de utilizator pentru a atribui un nivel de privilegii unui
anumit utilizator sau utilizați comanda enable secret pentru a atribui un nivel de
privilegii unei anumite parole ale modului EXEC.
• Nivelurile de privilegii au limitări, prin urmare, utilizați caracteristica de acces CLI
bazată pe roluri Cisco.

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
Rezumatul atribuirii rolurilor administrative
Ce am învățat în acest modul?
• CLI bazat pe roluri creează vederi diferite ale configurațiilor routerului pentru
diferiți utilizatori.
• Vizualizarea rădăcină bazată pe roluri are privilegii de nivel 15, dar poate configura
sau modifica vizualizări.
• Vizualizările pot conține aceleași comenzi și nu există o ierarhie de comenzi.
• Pentru a crea o vizualizare, AAA trebuie să fie activat folosind comanda aaa
new-model .
• Pentru a intra în vizualizarea rădăcină, utilizați comanda enable view root și
activarea parolei secrete .
• Creați o vizualizare folosind comanda parser view view-name global config mode.
• Atribuiți vizualizării o parolă utilizând comanda secretă pentru parolă .
• Atribuiți comenzi la vizualizare folosind comanda commands parser-mode .
• O supraveghere permite unui administrator de rețea să combine mai multe
vizualizări împreună.
• Adăugați vizualizări la o supraveghere folosind comanda view view-name .
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
Rezumatul atribuirii rolurilor administrative
Termeni și comenzi noi
• Modul USER EXEC
• Mod EXEC privilegiat
• Niveluri de privilegii
• Acces CLI bazat pe roluri
• Vizualizări
• Supervizualizări

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22