В данном посте приведён пример настройки Cisco IOS для ограничения доступа к команде enable.
Enable – Данная команда позволяет повысить ‘privilege level for a CLI session’ до супер-пользователя-root.
Пользователям типа support и helpdesk доступ к конфигурированию не нужен, а так как сотрудники данных отделов меняются часто, то пароль может быть легко скомпрометирован и тп.
Для настройки данного ограничения необходимо активировать сервис aaa и задействовать как authentication так и authorization. Authentication – просто проверяет логин-пароль пользователя, authorization – будет разрешать доступ к чему-либо этому пользователю. Так же необходимо задать команде enable определённый privilege level (обычно равный 15, как для пользователей из группы admin) для того, чтобы пользователи с более низким privilege level (например, helpdesk) не могли повысить свои права.
Конфигурация (без внешних aaa серверов, local конфиг обязательно нужно иметь на устройстве на случай отказа aaa серверов или отсутствия доступа к ним):
aaa new-model
!
aaa authentication login default local
aaa authorization exec default local
!
username netadmin privilege 15 password netadminPassword
!default privilege is 1
username helpdesk privilege 1 password helpdeskPassword
!
! присвоение команде enable уровня доступа 15
privilege exec level 15 enable
Links:
Telnet privilege exec level 15 enable not working
How do I restrict a user for certain commands on Cisco IOS