Я хотел бы позволить младшему персоналу внести определенные изменения в конфигурацию наших маршрутизаторов Cisco. Мне не очень нравится разглашать пароль включения, но если я смогу хотя бы сохранить их в нескольких командах конфигурации, я буду чувствовать себя лучше.
Им просто нужно иметь возможность настраивать оператор NAT / PAT в конфигурации. поэтому им нужно будет уметь, например, следующее:
no ip nat inside source static tcp 192.168.1.**1** 9100 1.1.1.1 9101
ip nat inside source static tcp 192.168.1.**2** 9100 1.1.1.1 9101
Есть ли способ ограничить их только этими типами команд? Маршрутизаторы Cisco 1941, работающие под управлением IOS версии 15.0.
Вам необходимо изменить уровень привилегий команд со значения по умолчанию 15 (разрешить) на более низкий уровень, а затем дать каждому имени пользователя достаточный уровень привилегий для выполнения этих команд.
Что-то вроде этого должно сработать:
privilege configure level 6 ip nat
privilege configure level 6 ip
privilege exec level 6 configure terminal
privilege exec level 6 configure
username junior privilege 6 password 0 juniorpass
В зависимости от размера вашей группы Cisco производит продукт именно для этого, называемый Система контроля доступа Cisco Secure. По сути, администраторы будут входить в маршрутизаторы, используя свои личные учетные записи, и каждый раз, когда они запускают команду, маршрутизатор спрашивает ACS, разрешено ли этому человеку запускать эту команду. Таким образом, позволяя вам быть чрезвычайно детально описывает, что администраторы могут делать, а также дает вам возможность в случае неудачной ситуации закрыть им доступ в любой момент. Он может поддерживаться RADIUS для централизованной аутентификации в таких источниках, как Active Directory.