У каждого администратора сетевых устройств cisco время от времени возникает потребность предоставить доступ к девайсам «случайным» пользователям, которым необходимо выполнение лишь определенного ограниченного набора команд. Наиболее частый случай — использование команды show для просмотра конфигурации, состояния портов etc.

В принципе, вроде как ничего сложного здесь нет. В устройствах cisco существуют уровни привилегий, настроив которые, можно добиться желаемого:

• Configuring Security with Passwords, Privilege Levels, and Login Usernames for CLI Sessions on Networking Devices
• How to Assign Privilege Levels with TACACS+ and RADIUS

Только в таком подходе есть один недостаток — необходимость определить набор команд, разрешенных для некого уровня привилегий, на каждом устройстве. И когда вам необходимо предоставить доступ на добрую сотню маршрутизаторов, то этот подход потеряет всякий смысл.

Выход — ограничить пользователя средствами AAA сервера, используя авторизацию команд. Поскольку я использую бесплатный tacacs+, то решение приводится для него.

Разрешенные к выполнению команды необходимо описать в секциях:

cmd = _имя_команды_ {}

.

Набор разрешенных аргументов команды задется при помощи шаблона и действия «deny» или «permit», которое применится к шаблону.

user = someuser {
  member = only_show_cmd
  password = des xxxxxxxxxx
}
group = only_show_cmd {
  default service = deny
  service = exec {
    priv-lvl = 15
    idletime = 10
  }
  cmd = show {
    permit "running-config.*"
    permit "ip int.*"
    permit "controllers.*"
  }
}

Дополнительно необходимо запретить выполнение явно не определенных команд при помощи параметра default service = deny.

Популярность: 8%