URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6422
[ Назад ]

Исходное сообщение
"Права доступа к enable"
Отправлено Vasya K. , 27-Окт-04 13:17

Доброго !
Пользователей можно наделать сколько угодно.
А вот можно ли сделать права доступа на enable ?
Или права самого enable зависят от
прав вошедшего пользователя ?
Проверял - разницы не заметил :-(
Либо сделать, чтобы вообще непускали
определенных пользователей !?!?!
Не получилось у меня. Если пароль на
enable известен, то пускает и с 0 привелегиями.
Цель: иметь ОДНОГО пользователя - типа админа
ВТОРОГО - только посмотреть, и все :-)
Ну можно и ТРЕТЬЕГО, чтобы вообще в enable
не пускали, даже если пароль известен.
Заранее благодарен,
Vasya K.

Содержание

Права доступа к enable,Сайко, 15:02 , 27-Окт-04
- Права доступа к enable,Vasya K., 17:27 , 27-Окт-04
  - Права доступа к enable,Сайко, 18:41 , 27-Окт-04
    - Права доступа к enable,Vasya K., 18:57 , 27-Окт-04
      - Права доступа к enable,Сайко, 19:27 , 27-Окт-04
        
        Права доступа к enable,kdi, 03:25 , 29-Окт-04
        
        Права доступа к enable,kdi, 11:43 , 01-Ноя-04
        
        Права доступа к enable,Vasya K., 13:56 , 01-Ноя-04

Сообщения в этом обсуждении

"Права доступа к enable"
Отправлено Сайко , 27-Окт-04 15:02

Если я Вас правильно понял, то вот пример:
enable secret secretforfirst
enable secret level 10 secretforsecond
!
username first privilege 15 password first
username second privilege 10 password second
username third privilege 0 password third
!
privilege exec level 10 show
и т.д.

"Права доступа к enable"
Отправлено Vasya K. , 27-Окт-04 17:27

>Если я Вас правильно понял, то вот пример:
>
>и т.д.
Да, все правильно, но ... :-(
Я все это еще раз пересмотрел
и перепробовал, но ... все тоже но !
Хотелось бы, как в виндах, для чайников
Набрал имя и пароль - впустили в level 1,
набрал enable и пароль (level 10) - впустили в 10,
набрал enable и пароль (level 15) - впустили в 15
:-)))
Т.е. чтобы не enable 10, а просто enable :-)))
И чтобы не сразу да и в 10, а все же через level 1.
Ну у каждого заморочки :-)))
Может и накопаю, что можно это сделать
А может, накопаю - что нельзя
И во обоих случаях - успокоюсь :-)
Вот можно, чтобы enable по умолчанию
было enable 10. к примеру ?

"Права доступа к enable"
Отправлено Сайко , 27-Окт-04 18:41

>Да, все правильно, но ... :-(
>Я все это еще раз пересмотрел
>и перепробовал, но ... все тоже но !
>Хотелось бы, как в виндах, для чайников
>Набрал имя и пароль - впустили в level 1,
>набрал enable и пароль (level 10) - впустили в 10,
>набрал enable и пароль (level 15) - впустили в 15
>:-)))
>Т.е. чтобы не enable 10, а просто enable :-)))
>И чтобы не сразу да и в 10, а все же через
>level 1.
Ну теперь я ничего не понял...
есть 3 пользователя у каждого при заходе выставляется свой privilege level при входе.
нужно перейти на другой level - пишите enable <0-15> Enable level
если просто написать enable и нажать ввод - то подразумевается 15 level
enable 0 == disable
Если Вы хотите чтобы cisco по enable паролю сама определяла какому level'у он принадлежит, то такого не получится. Нету...

"Права доступа к enable"
Отправлено Vasya K. , 27-Окт-04 18:57

>Если Вы хотите чтобы cisco по enable паролю сама определяла какому level'у
>он принадлежит, то такого не получится. Нету...
И я вот не пойму, зачем тогда и у enable
и у user есть и пароль и level.
Что первично ? Или как они взаимодействуют ?
Если ты входишь под user с level'ом 10
и набираешь enable 15 и знаешь пароль
и тебя впускают, и разрешают делать все,
что и юзеру 15, то за каким тогда user'у
писать level 10 !?!?!
И наоборот :-)))

"Права доступа к enable"
Отправлено Сайко , 27-Окт-04 19:27

>И я вот не пойму, зачем тогда и у enable
>и у user есть и пароль и level.
по умолчанию у cisco есть всего 2 типа комманд - level 0 и 15.
Если Вы хотите разрешить например для кого то выполнять команду "show startup-config", но при этом остаться не привелегированным:
переведите этого пользователя в разряд level 10
username user10 privilege 10 password user10
privilege exec level 10 show startup-config
>Что первично ? Или как они взаимодействуют ?
первично то, что прописано у пользователя
вот так и взаимодействуют надо поменять уровень - пишите enable ХХХ
>Если ты входишь под user с level'ом 10
>и набираешь enable 15 и знаешь пароль
>и тебя впускают, и разрешают делать все,
>что и юзеру 15, то за каким тогда user'у
>писать level 10 !?!?!
>И наоборот :-)))
Очень много "ЕСЛИ"!!!
Не хотите чтобы никто из level 0-14 не смог попасть в enable:
privilege exec level 15 enable
Так яснее ;)

"Права доступа к enable"
Отправлено kdi , 29-Окт-04 03:25

Уважаемые
а как сделать чтобы этот level 10 мог видеть running-config?
А полностью задача - смотреть все, но ничего не править, кроме сброса счетчиков.

"Права доступа к enable"
Отправлено kdi , 01-Ноя-04 11:43

вобщем со всем остальным понятно
но как сделать чтобы этот level 10 мог видеть running-config?
если прописано
privilege exec level 10 show running-config
по show running-config выдает только
Building configuration...
Current configuration : 60 bytes
!
! No configuration change since last restart
!
!
!
!
end
есть еще варианты?
хелп плииз

"Права доступа к enable"
Отправлено Vasya K. , 01-Ноя-04 13:56

Как я понял :-)))
>privilege exec level 10 show running-config
>
Надо этому пиплу
aaa author exec def loc
т.е. проавторизоваться в данных командах
ну и
user Name auto sh run
:-)
ЗЫ: И насколько я помню, где-то читал,
что show будет все, а не только ...
И после просмотра - пипл отвалиться !