Cisco IOS üzerinde 0 ile 15 arasında toplam 16 tane ayrıcalıklı seviye vardır. Bu seviyelerden 0,1 ve 15 önceden tanımlı gelir. 0 ve 1. seviyeler sınırlıdır. Sadece sorun giderme amaçlı ve bazı show komutları kullanılabilir. 15. Seviye ise tüm haklara sahiptir. Diğer seviyeler için istenilen komutlar belirlenip istenilen kullanıcıya atanabilir.
Bir seviye için belirlenen komut otomatik olarak üst seviyedekilere de atanmış olur.
config)# privilege [exec | configure | router |..] level [seviye numarası | reset] [komut ismi]
config)#enable secret level [seviye numarası] [parola]
#enable [seviye numarası]
#show privilege
SINIRLAMALARI
Alt seviyedeki komutlar üst seviyeler için her zaman açık.
Yüksek seviyedeki komutlar alt seviyeler için her zaman kapalı.
Birden fazla kelimeden oluşan komut atandığında komutun ilk kelimeleriyle ilgili komutlar da atanır.
Bir kişinin komutların çoğuna erişmesi isteniyorsa her komut için tanımlama yapılmalı.
Kullanıcı Hesabı oluşturmak
config)#username [Kullanıcı İsmi] secret [0 | 5 ][Parola]
0 kullanılırsa parola açık bir şekilde, 5 kullanılırsa md5‐Hash şeklinde yazılır.
Role Based CLI Erişimi
Privilege Level yöntemine göre daha esneklik sağlamak için IOS 12.3(1)T sürümü ile beraber eklenen bir özellik. Komutlar rollere göre tanımlanır.
Privilege yerini View ‘ler alır. Privilege Level 15 = Root View
Root View tarafından oluşturulan diğer view ler CLI View. Komut hiyerarşisi yok. Bir komut birden fazla view’ e atanabilir. Kullanıcılar sadece kendilerine izin verilen komutları kullanabilirler.
Arayüzlere erişim için tanımlama imkânı sağlar.
Birden fazla CLI view birleştirilerek Super view oluşturulabilir. Böylece admin birden fazla CLI view’e bir kullanıcıya kolay bir şekilde atayabilir.
Bir CLI view birden fazla Super view tarafından paylaşılabilir.
CLI den Super view’e geçiş ya da başka bir sper view den geçiş için Super view lere şifre tanımlanır.
Yapılandırma:
config)#aaa new-model View yapılandırmadan önce AAA hizmeti etkinleştirilmeli.
config)# enable view [root view ismi] Root View etkinleştirilir. İstenirse isim de tanabilir.
config)#parser view [view ismi] CLI View oluşturulur. İsim en fazla 15 karakterden oluşmalı.
-view)#secret [view için şifre] View oluşturulduktan hemen sonra parola atanmalı.
-view)#commands [exec |configure|…] [include | include-exclusive | exclude] [all]
[interface arayüz ismi | command]
İnclude parametresi kullanılırsa view için eklenen komut ya da arayüz diğer view lere de eklenebilir. Fakat
include‐exclusive parametresi kullanılırsa diğer view lere eklenemez. Exclude parametresi ise daha önce
eklenen komut ya da arayüzün view den çıkarılmasını sağlar.
All parametresi ise eğer komut eklenmişse aynı kelime ile başlayan tüm komutları da ekler. Eğer arayüz
eklenmiş ise o arayüze bağlı tüm subinterface lerin de eklenmesini sağlar.
config)#parser view [super view ismi] superview
-view)#secret [super view için parola]
-view)#view [super view’e dahil edilecek view ismi]
İstenilen view’e erişmek için
#enable view [view ismi]
#show parser view
config)#username Admin Privilege 15 secret cisco view root
Kaynak: Erdem TUNCAY. CCNA Security Eğitimi-Eylül 2011-Ankara
Bir seviye için belirlenen komut otomatik olarak üst seviyedekilere de atanmış olur.
config)# privilege [exec | configure | router |..] level [seviye numarası | reset] [komut ismi]
config)#enable secret level [seviye numarası] [parola]
#enable [seviye numarası]
#show privilege
SINIRLAMALARI
Alt seviyedeki komutlar üst seviyeler için her zaman açık.
Yüksek seviyedeki komutlar alt seviyeler için her zaman kapalı.
Birden fazla kelimeden oluşan komut atandığında komutun ilk kelimeleriyle ilgili komutlar da atanır.
Bir kişinin komutların çoğuna erişmesi isteniyorsa her komut için tanımlama yapılmalı.
Kullanıcı Hesabı oluşturmak
config)#username [Kullanıcı İsmi] secret [0 | 5 ][Parola]
0 kullanılırsa parola açık bir şekilde, 5 kullanılırsa md5‐Hash şeklinde yazılır.
Role Based CLI Erişimi
Privilege Level yöntemine göre daha esneklik sağlamak için IOS 12.3(1)T sürümü ile beraber eklenen bir özellik. Komutlar rollere göre tanımlanır.
Privilege yerini View ‘ler alır. Privilege Level 15 = Root View
Root View tarafından oluşturulan diğer view ler CLI View. Komut hiyerarşisi yok. Bir komut birden fazla view’ e atanabilir. Kullanıcılar sadece kendilerine izin verilen komutları kullanabilirler.
Arayüzlere erişim için tanımlama imkânı sağlar.
Birden fazla CLI view birleştirilerek Super view oluşturulabilir. Böylece admin birden fazla CLI view’e bir kullanıcıya kolay bir şekilde atayabilir.
Bir CLI view birden fazla Super view tarafından paylaşılabilir.
CLI den Super view’e geçiş ya da başka bir sper view den geçiş için Super view lere şifre tanımlanır.
Yapılandırma:
config)#aaa new-model View yapılandırmadan önce AAA hizmeti etkinleştirilmeli.
config)# enable view [root view ismi] Root View etkinleştirilir. İstenirse isim de tanabilir.
config)#parser view [view ismi] CLI View oluşturulur. İsim en fazla 15 karakterden oluşmalı.
-view)#secret [view için şifre] View oluşturulduktan hemen sonra parola atanmalı.
-view)#commands [exec |configure|…] [include | include-exclusive | exclude] [all]
[interface arayüz ismi | command]
İnclude parametresi kullanılırsa view için eklenen komut ya da arayüz diğer view lere de eklenebilir. Fakat
include‐exclusive parametresi kullanılırsa diğer view lere eklenemez. Exclude parametresi ise daha önce
eklenen komut ya da arayüzün view den çıkarılmasını sağlar.
All parametresi ise eğer komut eklenmişse aynı kelime ile başlayan tüm komutları da ekler. Eğer arayüz
eklenmiş ise o arayüze bağlı tüm subinterface lerin de eklenmesini sağlar.
config)#parser view [super view ismi] superview
-view)#secret [super view için parola]
-view)#view [super view’e dahil edilecek view ismi]
İstenilen view’e erişmek için
#enable view [view ismi]
#show parser view
config)#username Admin Privilege 15 secret cisco view root
Kaynak: Erdem TUNCAY. CCNA Security Eğitimi-Eylül 2011-Ankara
Yorumlar
Yorum Gönder