7
Besonderen User für Cisco Switche anlegen
Hallo,
im Moment muss ich bei in der Firma Cisco Switche austauschen und erneuern. Dazu gehört auch die Programmierung usw. der Switche. Da ich dabei von verschiedenen Kollegen unterstützt werden soll und diese aber eigentlich nur einen Port umstellen können sollen, wollte ich wissen, ob es die Möglichkeit gibt einen User auf den Switchen anzulegen der nur bestimmte Berechtigungen hat? Ich möchte den Administrator Account nicht herausgeben.
Was für Benutzer können auf den Switchen angelegt werden die nur eingeschränkte Rechte haben? Die Unterstützer sollen nur ein VLAN auf einem Ports des Switch ändern können und sonst nichts.
Vielleicht kann mir ja jemand helfen?
Danke und Grüße
Michael
im Moment muss ich bei in der Firma Cisco Switche austauschen und erneuern. Dazu gehört auch die Programmierung usw. der Switche. Da ich dabei von verschiedenen Kollegen unterstützt werden soll und diese aber eigentlich nur einen Port umstellen können sollen, wollte ich wissen, ob es die Möglichkeit gibt einen User auf den Switchen anzulegen der nur bestimmte Berechtigungen hat? Ich möchte den Administrator Account nicht herausgeben.
Was für Benutzer können auf den Switchen angelegt werden die nur eingeschränkte Rechte haben? Die Unterstützer sollen nur ein VLAN auf einem Ports des Switch ändern können und sonst nichts.
Vielleicht kann mir ja jemand helfen?
Danke und Grüße
Michael
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 243504
Url: https://administrator.de/forum/besonderen-user-fuer-cisco-switche-anlegen-243504.html
Ausgedruckt am: 26.12.2024 um 16:12 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Um welche Cisco Modelle und deren Firmwares geht es denn? Du weist ja, auf vielen teilen steht heute Cisco drauf. Und soll das über ein AD laufen oder ...?
Gruß,
Peter
Um welche Cisco Modelle und deren Firmwares geht es denn? Du weist ja, auf vielen teilen steht heute Cisco drauf. Und soll das über ein AD laufen oder ...?
Gruß,
Peter
Hallo,
es handelt sich um 2960er Switche in der Line Base oder Lan Light Ausführung. Über AD soll es nicht laufen. Ich möchte den Benutzer wenn möglich immer auf den Switchen anlegen. IOS müsste ab 15 sein.
Gruß
Michael
es handelt sich um 2960er Switche in der Line Base oder Lan Light Ausführung. Über AD soll es nicht laufen. Ich möchte den Benutzer wenn möglich immer auf den Switchen anlegen. IOS müsste ab 15 sein.
Gruß
Michael
Das Zauberwort heisst "Privilege Level" !
http://www.techrepublic.com/article/understand-the-levels-of-privilege- ...
Du musst die User Verwaltung auf "Login local" setzen mit der aaa authentication und dann die User mit entsprechendem Privilege Level customizen.
Das funktioniert recht einfach mit 3 Kommandos skaliert aber nicht unendlich wenn du viele User hast.
Da ist es dann besser (und auch sicherer) mit einem TACACS Server zu arbeiten wo du die User in Gruppen zusammenfassen kannst und auch Einzeluser definieren kannst.
TACACS ist außerdem granularer, denn da kannst du bestimmten Usern oder Gruppen auch frei einen bestimmten Command Set deiner Wahl definieren.
Wie man TACACS grundlegend einrichtet beschreibt dir dieses Forumstutorial im Kapitel "TACACS+ Server einrichten"
Netzwerk Management Server mit Raspberry Pi
http://www.techrepublic.com/article/understand-the-levels-of-privilege- ...
Du musst die User Verwaltung auf "Login local" setzen mit der aaa authentication und dann die User mit entsprechendem Privilege Level customizen.
Das funktioniert recht einfach mit 3 Kommandos skaliert aber nicht unendlich wenn du viele User hast.
Da ist es dann besser (und auch sicherer) mit einem TACACS Server zu arbeiten wo du die User in Gruppen zusammenfassen kannst und auch Einzeluser definieren kannst.
TACACS ist außerdem granularer, denn da kannst du bestimmten Usern oder Gruppen auch frei einen bestimmten Command Set deiner Wahl definieren.
Wie man TACACS grundlegend einrichtet beschreibt dir dieses Forumstutorial im Kapitel "TACACS+ Server einrichten"
Netzwerk Management Server mit Raspberry Pi
Das hört sich doch gut an. Ich möchte nicht unendlich viele User anlegen sondern eventuell nur einen der dann für alle gilt. Kannst du mir mal ein Beispiel geben wie dieser User anzulegen wäre?
OK, dann ist privilege das Mittel der Wahl. Die Level 0,1 und 15 sind reserviert aber 2-14 kannst du dir customizen.Z.B.
aaa authentication login default local
username newbie privilege 2 password Geheim
privilege exec level 2 show running-config
privilege configure level 2 interface Fa
Soll das auch für die serielle Konsole gelten musst du auch noch:
line con 0
login local
setzen.
Wenn sich hier der User "newbie" einloggt kann er nur ein "show run" ausführen plus die Kommandos des untersten Privilege Modes 1 (Userlevel)
Eine höherer Privilege Mode inkludiert immer den niedrigeren.
So kannst du mehrere Privilege Modes mit unterschiedliche Kommando Sets für User definieren.
Weitere Infos dazu findest du wie immer auf der Cisco Seite:
http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/gu ...
und
http://www.cisco.com/c/en/us/support/docs/security-vpn/terminal-access- ...
und
http://www.cisco.com/c/en/us/td/docs/ios/sec_user_services/configuratio ...
usw.
aaa authentication login default local
username newbie privilege 2 password Geheim
privilege exec level 2 show running-config
privilege configure level 2 interface Fa
Soll das auch für die serielle Konsole gelten musst du auch noch:
line con 0
login local
setzen.
Wenn sich hier der User "newbie" einloggt kann er nur ein "show run" ausführen plus die Kommandos des untersten Privilege Modes 1 (Userlevel)
Eine höherer Privilege Mode inkludiert immer den niedrigeren.
So kannst du mehrere Privilege Modes mit unterschiedliche Kommando Sets für User definieren.
Weitere Infos dazu findest du wie immer auf der Cisco Seite:
http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/gu ...
und
http://www.cisco.com/c/en/us/support/docs/security-vpn/terminal-access- ...
und
http://www.cisco.com/c/en/us/td/docs/ios/sec_user_services/configuratio ...
usw.
Super vielen Danke. Du hast mir sehr geholfen.
Immer gerne wieder. Dafür ist ein Admin Forum ja da 
