📌  相关文章
📜  基于角色的访问控制

📅  最后修改于: 2022-05-13 01:57:01.898000             🧑  作者: Mango

基于角色的访问控制

只有管理员才能完全访问网络,而初级网络工程师等其他员工不需要完全访问网络设备。初级工程师通常只需要交叉检查设备的配置,而不是添加或删除任何配置,那么为什么要授予该员工的完全访问权限?
对于这些类型的场景,管理员根据用户的角色定义对设备的访问权限。

基于角色的访问控制 –
基于角色的访问控制的概念是创建一组权限并将这些权限分配给用户或组。在这些权限的帮助下,只能向用户提供有限的访问权限,因此提高了安全级别。
执行 RBAC 有多种方法,例如创建自定义权限级别或创建视图。

自定义级别特权 –
当我们拿到路由器的控制台时,我们就进入了用户级模式。用户级模式的权限级别为 1。通过键入 enable,我们进入权限级别为 15 的特权模式。具有 15 级权限的用户可以访问所有级别为 15 或以下的命令。
通过创建自定义权限级别(介于 2 和 14 之间)并向其分配命令,管理员可以向用户提供命令子集。

配置 -
首先,我们将向我们的特权级别添加一个命令,例如 8 并为其分配一个密码。 

R1(config)#privilege exec level 8 configure terminal
R1(config)#enable secret level 8 0 saurabh

在这里,我们将密码指定为 saurabh。另请注意,此处的 0 表示后面的密码是明文(非散列)。
现在,我们将创建一个本地用户名 saurabh 并将该用户与配置的级别相关联。启用 aaa 模型并将默认列表分配给不同的行。 

R1(config)#username saurabh privilege 8 secret cisco123
R1(config)#aaa new-model
R1(config)#line vty 0 4
R1(config)#login local

现在,只要用户名 Saurabh 通过 vty 线路进行远程访问,他将被分配特权级别 8。

创建视图:
基于角色的 CLI 访问使管理员能够为不同的用户创建设备的不同视图。每个视图都定义了用户可以访问的命令。它类似于特权级别。基于角色的 CLI 提供 2 种类型的视图:

  1. 根视图 -根视图与具有级别 15 的用户具有相同的访问权限级别。管理员应该在根视图中,因为可以在根视图中添加、编辑或删除视图。配置 -
    要进入 root 视图,我们首先必须在设备上启用 aaa,然后必须设置启用密码或机密密码,当任何用户进入 root 视图时都将使用该密码。要在设备上启用 aaa 并应用秘密密码,命令是: 
    R1(config)#aaa new-model
R1(config)#enable secret geeksforgeeks

    现在,我们将通过命令进入根视图: 

    R1#enable view

    通过键入此内容,我们将进入根级别,我们可以在其中添加、删除或编辑视图。

  2. 超级视图 –超级视图由 2 个或更多 CLI 视图组成。网络管理员可以为一个用户或一组用户分配一个由多个视图组成的超级视图。超级视图可以包含多个视图,因此它可以访问其他视图中提供的所有命令。配置 -
    由于超级视图包含多个视图,因此首先我们将创建 2 个名为 Cisco 和 IBM 的视图。现在,在 Cisco 看来,我们将在 exec 模式下允许所有 show 命令,在全局配置模式下允许 int e0/0 命令。 
    R1(config)#parser view cisco
R1(config-view)#secret geeksforgeeks1
R1(config-view)#commands exec include all show
R1(config-view)#commands configure include int e0/0

    现在,我们将创建 IBM 视图,在该视图中,我们将在 exec 模式下允许 ping 和配置终端,在配置模式下允许 ip 地址。 

    R1(config)#parser View ibm
R1(config-view)#secret geeksforgeeks1
R1(config-view)#commands exec include ping
R1(config-view)#commands exec include config terminal
R1(config-view)#commands configure include ip address

    现在我们将创建一个超级视图并将其命名为 sup_user。我们将为superview sup_user 启用一个秘密密码超级用户并向其添加视图Cisco 和IBM,因此它具有执行仅包含在视图Cisco 和IBM 中的命令的所有权限。 

    R1(config)#parser view sup_user superuser
R1(config-view)#secret superuser
R1(config-view)#view cisco
R1(config-view)#view ibm

注 –必须在配置任何视图之前为其应用密码。此外,这里可以使用启用密码代替秘密密码,但由于未加密,因此安全性较低。
我们可以通过以下方式检查配置: 

R1#show running-configuration