138064
Goto Top

Cisco 2960x Benutzerrechte einrichten (Denkhilfe)

Hallo zusammen,

ich möchte einen Benutzer auf dem Cisco Catalyst 2960x mit eingeschränkten rechten einrichten.

Er soll nur VLAN an einem Port konfigurieren können und die Show Befehle ausführen dürfen mehr nicht.

Habe schon mal mich etwas eingelesen und wollte jetzt wissen ob das so passt oder ich was vergessen habe.

aaa authentication login default local
username Techniker privilege 2 password gehteuchnichtsan
privilege exec level 2 show running-config
privilege configure level 2 interface Fa
line con 0
login local

Gruß
Stefan

Content-Key: 415657

Url: https://administrator.de/contentid/415657

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: aqui
aqui 10.02.2019 aktualisiert um 12:08:30 Uhr
Goto Top
Wenn du noch L3 Support brauchst muss der User auch vlan Interfaces konfigurieren dürfen. Wenns rein Layer 2 ist passt das so.
Mitglied: 138064
138064 10.02.2019 aktualisiert um 17:25:40 Uhr
Goto Top
Hallo aqui,

danke für deine Antwort.
Nein, L3 Support wird nicht benötigt.
Wenn ich das so in den Switch puste bekomme ich das als Output:

Habe mich als Adminstrator eingeloggt.

Switch line 1

Switch#conf t
Switch(config)#aaa authentication login default local
Switch(config)#username Techniker privilege 2 password gehteuchnichtsan
Switch(config)#privilege exec level 2 show running-config
Switch(config)#privilege configure level 2 interface Fa
Switch(config)#line con 0
Switch(config-line)#login local
                                  ^
% Invalid input detected at '^' marker.  
Switch(config-line)#

Switch#sh privilege
Current privilege level is 15

Sollte da nicht privilege 2 stehen?

Wo ist mein Fehler?

Gruß
Mitglied: aqui
aqui 11.02.2019 um 10:03:16 Uhr
Goto Top
Auf der Konsole geht das so nicht. Du musst zuerst die aaa Authentisierung global auf der Konsole aktivieren !
Du hast das leider nicht erwähnt das es für die Konsole ist und NICHT für Telnet, SSH usw. face-sad
Mitglied: 138064
138064 11.02.2019 aktualisiert um 10:41:06 Uhr
Goto Top
Sorry, das war mein Fehler es nicht zu erwähnen.

Weist du zufällig die Befehle?

Oder passt das so?

aaa new-model
aaa session-id common
switch 1 provision ws-c2960x-48fpd-l

Gruß
Mitglied: aqui
aqui 11.02.2019 aktualisiert um 17:00:02 Uhr
Goto Top
Siehe hier:
https://community.cisco.com/t5/policy-and-access/privileged-exec-at-line ...
(Kommentar von Greg)
Und auch hier:
http://www.pearsonitcertification.com/articles/article.aspx?p=102180&am ...

Der Konsol Port ist eingeschränkt. Ist ja auch irgendwie klar, denn er ist die einzige Möglichkeit eine Passwort Recovery hinzubekommen. Sägst du dir da den Ast ab auf dem du sitzt, dann kannst du das Gerät nur noch wegschmeissen.
Deshalb hat der Konsol Port nur sehr wenige Möglichkeiten der Absicherung.