URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19364
[ Назад ]

Исходное сообщение
"Вопрос по username privilege"
Отправлено ERik , 28-Июл-09 11:56

Hi All!
вот кусок моего конфига:
username test1 privilege 15 secret 5 $1$b5Y6$fgA6ghuh0PdfgOVfdhd!ed.
aaa new-model
aaa authentication login default local
line con 0
line vty 0 4
exec-timeout 0 0
transport input ssh
escape-character 3
line vty 5 15
exec-timeout 0 0
transport input ssh
escape-character 3
Я так понимаю что привилегии 15 уровня дают права на циске уровня enable? Тогда почему при логине пользователем test1 все равно приходится писать "enable" для поднятия привилегий для просмотра sh run например?
Вообще у меня стоит задача создать пользователей разного уровня privilege и соответственно пускать их в систему без разглашения пароля на enable. Тем кому нужен полный доступ соответственно давать уровень 15. Но сам пароль от enable держать в секрете. Так возможно?

Содержание

Вопрос по username privilege,ERik, 12:01 , 28-Июл-09
- Вопрос по username privilege,shadow_alone, 12:26 , 28-Июл-09
  - Вопрос по username privilege,ERik, 12:31 , 28-Июл-09
    - Вопрос по username privilege,shadow_alone, 12:33 , 28-Июл-09
      - Вопрос по username privilege,ERik, 12:37 , 28-Июл-09

Сообщения в этом обсуждении

"Вопрос по username privilege"
Отправлено ERik , 28-Июл-09 12:01

>[оверквотинг удален]
> escape-character 3
>
>Я так понимаю что привилегии 15 уровня дают права на циске уровня
>enable? Тогда почему при логине пользователем test1 все равно приходится писать
>"enable" для поднятия привилегий для просмотра sh run например?
>
>Вообще у меня стоит задача создать пользователей разного уровня privilege и соответственно
>пускать их в систему без разглашения пароля на enable. Тем кому
>нужен полный доступ соответственно давать уровень 15. Но сам пароль от
>enable держать в секрете. Так возможно?
Вот вошел сейчас пользователем test1:
Router>sh priv
Current privilege level is 1
почему так?

"Вопрос по username privilege"
Отправлено shadow_alone , 28-Июл-09 12:26

добавь
aaa authorization exec default local
и будет тебе счастье, но это неправильно вообще-то %)

"Вопрос по username privilege"
Отправлено ERik , 28-Июл-09 12:31

>добавь
>aaa authorization exec default local
>и будет тебе счастье, но это неправильно вообще-то %)
заработало
а почему неправильно если у меня aaa вся локально крутится?

"Вопрос по username privilege"
Отправлено shadow_alone , 28-Июл-09 12:33

неправильно вообще давать сразу 15 привилегии при входе.
лучше просто сказать пароль на en кому положено, логировать действия в syslog на сервак и ежедневный бакап конфига - вот так будет правильнее.

"Вопрос по username privilege"
Отправлено ERik , 28-Июл-09 12:37

>неправильно вообще давать сразу 15 привилегии при входе.
>лучше просто сказать пароль на en кому положено, логировать действия в syslog
>на сервак и ежедневный бакап конфига - вот так будет правильнее.
>
А ну с этой точки зрения полностью согласен.