Как добавить пользователя на CISCO
В этой статье мы рассмотрим простое добавление нового пользователя на коммутатор Cisco, хранение пароля в зашифрованном виде, а так же указание прав для уровня привилегий и назначение точных прав для нового пользователя.
По умолчанию командный интерфейс CISCO имеет два уровня доступа:
- User EXEC mode – (1) первый уровень.
Доступ к небольшой информации о состоянии устройства, т.е. только чтение и то не всего. - Privileged EXEC mode – (15) пятнадцатый уровень.
Полные права на все команды устройства, правка и чтение.
Так им образом, выставляя права от 0 до 15 уровня, можно сконфигурировать права на выполнение определённых команд для пользователя.
Итак добавим пользователя для чтения информации о коммутаторе (только просмотр)
SW01# configure terminal SW01 (config) # username myuser privilege 1 secret TestPass$$ SW01 (config) # exit SW01# write
Теперь добавим пользователя с полными правами
SW01# configure terminal SW01 (config) # username admuser privilege 15 secret TestPass$$ SW01 (config) # exit SW01# write
- Первая строка «configure terminal» — зашли в режим правки конфигурации
- Вторая строка «username admuser privilege 15 secret TestPass$$» — добавили пользователя
«admuser» — имя пользователя
«privilege 15» — права для него
«secret TestPass$$» — пароль пользователя - «exit» — выход
- «write » — записали в конфиг
Если мы хотим хранить пароль на коммутаторе в зашифрованном виде, т.е. что бы когда второй администратор читает конфигурацию он не видел вашего пароля.
Итак уточним синтаксис «username» :
- username userstring privilege level secret [encryption-type] passwordstring
- username – команда создания пользователя
- userstring – имя пользователя
- privilege level – уровень привилегий
- secret [encryption-type]:
- secret 0 – пароль вводится в открытом виде, хранится в зашифрованном виде
- secret 5 – пароль вводится в зашифрованном виде, хранится в зашифрованном виде
- secret – пароль вводится и хранится в открытом виде
- passwordstring – пароль пользователя
Пример добавления пользователя с вводом пароля в открытом виде, но хранение зашифровано.
SW01# configure terminal SW01 (config) # username admuser privilege 15 secret 0 TestPass$$ SW01 (config) # exit SW01# write
Теперь укажем какие команды можно выполнять на каждом уровне привилегий.
privilege mode [all] level level command
- privilege – команда для задания уровня привилегий команд
- mode – режим конфигурации (EXEC, interface, line и т.д.)
- all – означает возможность выполнения всех команд начинающихся на «command»
- level – уровень привилегий
- command – выполнение какой команды разрешено на уровне привилегий level
Например нам нужно что бы коллега работал только с VLAN на коммутаторе.
SW01# configure terminal SW01 (config) # username myuser privilege 4 secret 0 TestPass$$
Зададим права пользователям с 4 уровнем привилегий
SW01 (config) # privilege exec level 4 configure terminal SW01 (config) # privilege configure level 4 interface GigabitEthernet1/0/1 SW01 (config) # privilege interface level 4 switchport access vlan
Укажем пароль для 4-го уровня привилегий
SW01 (config) # enable secret level 4 0 lvl4mypass
На этом всё, сохраняемся и проверяем как работает.
SW01 (config) # write SW01 (config) # do copy running-config startup-config
Удачи.
Комментарии ()