Níveis de Acesso: CLI View – Role-Based Access
A administração de rede das organizações pode ter diversos administradores, e cada um deles pode ter diferentes tipos de acesso. Para criá-los, podemos usar os niveis de privilégio ou a enable view; é de costume usar-se os níveis de privilégio. Mas por este meio não temos o controle tão detalhado como na enable view.
A view da CLI é uma feature do Cisco IOS, que permite ao administrador especificar exatamente quais comandos e interfaces um grupo de adminstradores têm acesso. O IOS permite 15 views diferentes em cada dispositivo.
Root-View: Equivale ao privilégio exec nível 15. Quando o usuário se loga com este nível, a permissão para criação e manipulação das views é adicionada.
Pré-requisitos para a criação das views:
– Senha de "enable" (usada para logar na root view);
– AAA habilitado no router/switch;
– Logar-se na "root view", com a senha de enable
Configuração:
! habilitando o AAA
aaa new-model
! configurando senha do enable
enable secret brainwork
end
! logando na root view. Aqui será pedida a senha de enable
enable view
configure terminal
! criando a view nomeada "guest"
parser view guest
! antes de tudo, na view é necessária a configuração da senha
secret cisco
! no modo de configuração global, a view dará acesso aos seguintes comandos:
! end
commands configure include all end
! interface fastethernet0
commands configure include interface
commands configure include all interface fastethernet0
! no modo de configuração e acesso à interfaces, a view dará acesso aos seguintes comandos:
! fastethernet (acesso somente à esta interface)
commands interface include all fastethernet
! e o número da interface (para ser reconhecido pela CLI)
commands interface include all 0
! no modo exec, qualquer comando iniciado com:
! telnet
commands exec include all telnet
! comando logout
commands exec include all logout
! debug icmp, apenas nesta view. Parâmetro especificado pelo comando "include-exclusive"
commands exec include-exclusive debug ip icmp
! entrada ao modo de configuração global
commands exec include configure terminal
! undebug
commands exec include all undebug
! e show ip interface brief
commands exec include show ip interface brief
end
write memory
Para testarmos a view guest, devemos logar nela, usando o comando enable view guest. Será pedida a senha, e o login será efetuado com sucesso. A partir daí, estarão presentes somente os comandos acima especificados.
Feita a configuração, o output do show running-config exibirá o seguinte:
BrainRT#show run | begin parser
parser view guest
secret 5 $1$yI7R$kSW4QghsnDJnFVWgVrbGY/
commands configure include all end
commands configure include interface
commands exec include all telnet
commands exec include configure terminal
commands exec include configure
commands exec include-exclusive undebug ip icmp
commands exec include undebug ip
commands exec include all undebug
commands exec include show ip interface brief
commands exec include show ip interface
commands exec include show ip
commands exec include show
commands exec include all logout
commands exec include-exclusive debug ip icmp
commands exec include debug ip
commands exec include debug
commands configure include all interface FastEthernet0
!
!
end
BrainRT#
Observe que no output, alguns comandos não colocados em nossa configuração aparecem; estes são inclusos automaticamente, como por exemplo, "show ip interface brief".
Obs.: neste laboratório foi usado um Cisco Router 1721.
Para mais informações: http://www.cisco.com/en/US/docs/ios/12_3t/12_3t7/feature/guide/gtclivws.html
Espero que ajude. Até breve!
Cisco, Configuração, IOS, Routers, Segurança, Switches
| 
acesso administrativo, enable, privilege exec, view
Muito Bom este artigo