Uwierzytelnianie w Cisco IOS – lokalna baza użytkowników


 

Niedawno pisałem o tym jak zabezpieczyć urządzenia z IOS-em ustawiając hasła. Taki sposób zabezpieczania to absolutne minimum. W przypadku jednak gdy urządzeniami w firmie zarządza więcej osób to warto na nich skonfigurować lokalną bazę użytkowników i przypisać im unikalne hasła. Metoda ta jest dobra głównie ze względu na kontrolę aktywności poszczególnych użytkowników na urządzeniach. Warto mieć ją skonfigurowana nawet wtedy gdy mamy już zaimplementowana autentykację poprzez Radiusa lub Tacacsa – można jej używać jako backupu w przypadku utraty połączenia z serwerami.

Dodatkowo, dzięki bazie możemy nadać odpowiednie poziomy dostępu. W IOS-ie jest ich 16, im wyższy poziom tym większe uprawnienia. Domyślnie level 1 to tryb użytkownika, level 15 to tryb uprzywilejowany. Jednak po stworzeniu bazy możemy przydzielać uprawnienia dla użytkowników wedle swojego uznania. Możemy również tworzyć pośrednie poziomy uprawnień oraz tak je skonfigurować aby pozwalały na dostęp tylko do określonych rodzajów komend.

Zacznijmy więc od prostej konfiguracji – stworzenia użytkowników i nadania im haseł. Służy do tego komenda username

Switch(config)#username netadmin privilege 15 secret Cisco123
Switch(config)#username support privilege 5 secret Cisco12
Switch(config)#username user privilege 1 secret Cisco1

Mamy trzech użytkowników, aby mogli się oni logować na swoje nowo stworzone konta musimy zmienić sposób logowania na poszczególne interfejsy. używamy na nich komendy login local. Przypuścimy, że chcemy za pomocą lokalnej bazy autentykować się poprzez każdy port.

Switch(config)#line console 0
Switch(config-line)#login local
Switch(config-line)#line aux 0
Switch(config-line)#login local
Switch(config-line)#line vty 0 4
Switch(config-line)#login local

Teraz chcemy, aby użytkownik support (level 5) mógl samodzielnie wykonać pełne polecenie show tech-support, a użytkownik user mógł wyświetlić show running-config

Switch(config)# privilege exec level 5 show tech-support
Switch(config)# privilege exec level 1 show running-config

Dodatkowo mamy klika komend ułatwiających pracę z poziomami uprawnień. Jest to przede wszystkim
show privilege służące do wyświetlania aktualnego poziomu. Możemy również korzystać z dobrze znanego enable, jeżeli dodamy do niego numer poziomu to przejdziemy właśnie do niego.

Switch#show privilege
Current privilege level is 15
Switch#enable 10
Switch#show privilege
Current privilege level is 10

Mając bazę użytkowników możemy też szybko sprawdzić kto i na jakim interfejsie jest aktualnie zalogowany. Używamy do tego polecenia show users


Podobne Tematy:

Tags:, ,
  • Ballock

    Bardzo się cieszę, że dbacie, by wpisy były w języku polskim :)
    Tylko jedna uwaga: mamy polski odpowiednik słowa „Authenticate” w postaci słowa „Uwierzytelnienie”. Podobne słowo „Authorize” jest bliższe polskiemu odpowiednikowi „Autoryzacja”.

    A propos artykułu samego w kontekście haseł warto byłoby wspomnieć o polecenie „service password-encryption”.

    Pozdrawiam

    • Dariusz Góra

      Święta racja, wpadłem w pułapkę „dosłownego” tłumaczenia z wszechobecnego języka angielskiego. Przyznaję, to było patetyczne (pathetic) ;). Temat do poprawki.

      Dzięki za sugestię, „service password-encryption” będę miał jeszcze okazję opisać w kolejnym artykule o „łamaniu” haseł type-7 za pomocą „key chain”.

    • Praca w korporacji szkodzi :) Dzięki za komentarz. Ja w swoich artykułach od czasu do czasu też wpadam w te same pułapki językowe :)