29.04.2019

4322

Cisco Catalyst 2960x keine Administrator Rechte

Hallo zusammen,

mir ist wahrscheinlich ein großer Fehler unterlaufen.

Habe vorhin einen Benutzer per SSH auf dem Switch einrichten wollen. Das hat auch geklappt. Leider ist mir da aufgefallen das ein Tippfehler im Name ist.

Also habe ich den Benutzer gelöscht und neu angelegt.

Jetzt habe ich das Problem das der Benutzer und der Admin die gleichen Rechte (Privilege 2) haben.

Gibt es eine Möglichkeit irgendwie das wieder zu ändern?

Zur Not kann man den Switch auch Resetten die aktuelle Konfig habe ich.

Hier noch die verwendeten Befehle:

aaa authentication login default local
username test privilege 2 password 1234
!
privilege exec level 2 show running-config
privilege exec level 2 show configure
privilege exec level 2 show configure terminal
privilege configure level 2 interface fa
!
line vty 0 4
privilege level 2

Gruß
nullModem

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 445884

Url: https://administrator.de/contentid/445884

Ausgedruckt am: 17.12.2024 um 02:12 Uhr

36 Kommentare

Neuester Kommentar

Gibt es eine Möglichkeit irgendwie das wieder zu ändern?

Ja. Ganz einfach den User mit no username test löschen und mit einem neuen Privilege Level wieder anlegen.
https://www.cisco.com/c/en/us/td/docs/ios/12_2/security/command/referenc ...
Dein Problem ist das du den Privilege Level global für alle 4 remoten Telnet oder SSH Sessions festgelegt hast (vty 0 bis 4). Damit gelten sie dann für ALLE User die über diese Verbindung reinkommen und sind nicht mehr User bezogen. Das musst du also entfernen.

Danke, aqui für deine Hilfe.

Der Benutzer ist nicht mehr vorhanden und kann auch keinen Anlegen.
Ich komme nur noch mit dem Benutzer Administrator rein und der hat den Privilege Level 2.

Werde grade nicht schlau.....

en 15

Mit dem Befehl komme ich nicht rein wenn ich das Admin Kennwort eingebe. Zugriff verweigert.

Das ist in der letzten gespeicherten Config drin (wird automatisch per TFTP beim speichern übertragen)

username administrator privilege 15 secret 5  "HASH"

Ich komme nur noch mit dem Benutzer Administrator rein

Nein, das ist falsch !
Die serielle Konsole (und nur die !) ist jetzt dein bester Freund

Anders gehts nicht, weil du die Globalkonfig an den remoten Ports für alle User hast. Wenn du an die serielle Konsole nicht rankommst...Pech !
Es sei denn....
Du hast noch kein "wr" gemacht und die Konfig gesichert. Dann kannst du ein "reload" ausführen oder besser ausführen lassen (Stecker ziehen) und die Kiste kommt wieder so hoch wie vorher.

Deshalb sollte man immer wenn man an Funktionen rumfummelt, die die Gefahr bergen sich den Ast abzusägen auf dem man sitzt wenn man einzig nur eine remote Session hat und 100km weit wech ist, dann besser reload <Uhrzeit> eingeben. (Alle Reload Optionen mit reload ?)
Hat man gesägt und ist weg, muss man nur warten bis der Uhrzeit Timer abgelaufen ist und die Kiste von selber rebootet

"wr" zu machen ist dann natürlich ein NoGo, bzw. wenn alles klappt mit no reload <Uhrzeit> dann wieder das laufende Reload Damoklesschwert entschärfen !

Also, da ich ja nur diese Befehle eingegeben habe und im schlimmsten fall noch gespeichert haben sollen sind also nur die Remote Ports "weg".

D.h. Konsolenkabel ran und los gehts?

Zum Glück bin ich nur 100m von dem Switch weg und keine 100km.

Eigentlich wollte ich nur einen Benutzer mit ein paar Rechten einrichten aber, dann halt so.

Du kannst mir bestimmt sagen ob das so passt von der Config her.
Ein Benutzer der nur Konfigurieren soll.

aaa authentication login default local
username test privilege 2 password 1234
!
privilege exec level 2 show running-config
privilege exec level 2 show configure
privilege exec level 2 show configure terminal
privilege configure level 2 interface fa

Passt das?

D.h. Konsolenkabel ran und los gehts?

Jepp, so ist es ! 9600 Baud N81

Zum Glück bin ich nur 100m von dem Switch weg und keine 100km.

Dein Glück !

Eigentlich wollte ich nur einen Benutzer mit ein paar Rechten einrichten aber, dann halt so.

Das hast du ja auch prinzipiell richtig gemacht mit der Privilege Definition für den User. Nur dann hast du on Top noch überflüssigerweise die Schrotschussvariante mit den vty Sessions gemacht, was sinnfrei ist. Es reicht dann wenn das nur beim Username definiert ist !

Passt das?

Sieht gut aus und sollte passen !

Leider hat das mit Console hat leider nicht funktioniert.
Habe ein USB Kabel zum Verbinden genommen oder muss ich ein richtiges Consolenkabel nehmen?

Verwendete Befehle

en
en 15

Das steht in der letzten abgelegten Config.

line con 0
 logging synchronous
 stopbits 1
line vty 0 4
 exec-timeout 30 0
 privilege level 2
 logging synchronous
 length 0
 transport input telnet ssh
line vty 5 15
 exec-timeout 30 0
 privilege level 15
 logging synchronous
 transport input ssh

Der Switch läuft wieder und man kann sich auch wieder mit Admin Rechten einloggen.

Ich musste den Switch komplett zurücksetzen da war kein Login möglich auch, nicht über die Konsole.

Noch eine Frage zu dem Privilege Level. Kann es dein das man die Config in der Konsole eingeben muss ? Und nicht per SSH ?

Wenn ich die Befehle unter SSH eingebe habe ich für den Benutzer Privilege Level 15.

Ist da mein Denkfehler gewesen? Und natürlich mit den vty.

Habe ein USB Kabel zum Verbinden genommen

Was hat ein USB Kabel mit einem seriellen RS232 Kabel zu tun. Was ein Fisch mit einem Fahrrad ??
Muss man sicher nicht weiter kommentieren diese Frage !
Der Konsol Port ist ein serieller RS 232 Port wo man mit einem seriellen Kabel, und einem Terminalprogramm ran muss über eine serielle COM Schnittstelle !
Hat man die nicht tut es auch ein simpler billiger USB zu Seriell Wandler wie dieser:
https://www.amazon.de/CSL-Seriell-Adapterkabel-Konverter-u-Schwarz/dp/B0 ...
Oder noch sinnvoller gleich eine Kombi mit Adapter und Cisco Kabel !!!
https://www.amazon.de/Cisco-Konsolen-kabel-Serielles-Kabel/dp/B06Y51HSC5

da war kein Login möglich auch, nicht über die Konsole.

Kein Wunder wenn man es mit einem USB Kabel versucht !!

Mit einem seriellen hätte der Login geklappt. Die Konsole ist immer der letzte Anker mit der der Zugriff immer klappt !

Wenn ich die Befehle unter SSH eingebe habe ich für den Benutzer Privilege Level 15.

Bahnhof ? Ägypten ? Was willst du uns damit sagen.
Der Superuser (Default) hat immer als Default Privilege 15.

Habe ein USB Kabel zum Verbinden genommen
Was hat ein USB Kabel mit einem seriellen RS232 Kabel zu tun. Was ein Fisch mit einem Fahrrad ??
Muss man sicher nicht weiter kommentieren diese Frage !
Der Konsol Port ist ein serieller RS 232 Port wo man mit einem seriellen Kabel, und einem Terminalprogramm ran muss über eine serielle COM Schnittstelle !
Hat man die nicht tut es auch ein simpler billiger USB zu Seriell Wandler wie dieser.
Oder noch sinnvoller gleich eine Kombi mit Adapter und Cisco Kabel !!!
da war kein Login möglich auch, nicht über die Konsole.
Kein Wunder wenn man es mit einem USB Kabel versucht !!

Mit einem seriellen hätte der Login geklappt. Die Konsole ist immer der letzte Anker mit der der Zugriff immer klappt !

Ein Kabel von RS232 auf RJ 45 Stecker für die Cisco Konsole habe ich.

Hier ein Bild vom Switch mit dem dementspechem USB Anschluss.
Dieser wir als COM Anschluss von Windows erkannt und konnte mich mit dem Switch verbinden.
Habe beide Anschlüsse verwendet.

Wenn ich die Befehle unter SSH eingebe habe ich für den Benutzer Privilege Level 15.
Bahnhof ? Ägypten ? Was willst du uns damit sagen.
Der Superuser (Default) hat immer als Default Privilege 15.

Das ist klar.
Damit waren diese Befehle gemeint die ich per Putty eingebe und mich per IP mit dem Switch verbinde und da habe ich dann wenn ich mit diesem Benutzer mich anmelde und sh privilege eingebe die ausgabe privilege level 15 bekommen.

aaa authentication login default local
username test privilege 2 password 1234
!
privilege exec level 2 show running-config
privilege exec level 2 show configure
privilege exec level 2 show configure terminal
privilege configure level 2 interface fa

Die Kommandos sind so richtig. Nur eben auf dem vty 0 4 darfst du das nicht aktivieren, das hebelt ja dann global die obigen Settings aus, da es pauschal für alle User geht die per SSH oder Telnet reinkommen.
Bei aaa authentication login default local solltest du dann deinen Superuser nicht vergessen mit username admin password Geheim123
Wenn du nix angibst ist Priv 15 Default. Nur mit dem einzelnen User test wirst du dann wieder ein Problem haben (kein Priv 15 möglich) und dann freut sich deine Konsole wieder

Ok. Das heist dann so.

aaa authentication login default local
username admin privilege 15 password jahoo
username test privilege 2 password 1234
!
privilege exec level 2 show running-config
privilege exec level 2 show configure
privilege exec level 2 show configure terminal
privilege configure level 2 interface fa

Bingo !

Leider bei mir kein Bingo.

Verbinde mich per Putty über die IP mit dem Switch.

Habe es so eingegeben wie hier geschieben:

aaa authentication login default local
username admin privilege 15 password yahoo
username test privilege 2 password 1234
!
privilege exec level 2 show running-config
privilege exec level 2 show configure
privilege exec level 2 show configure terminal
privilege configure level 2 interface fa

Wenn ich mich dann mit dem Benutzer test einlogge und dann

sh privilege

bekomme ich diese Ausgabe

Current privilege level is 15

Also, habe es fast geschafft.
Weis jetzt auch warum er mir immer den Privilege level 15 bei meinem Test Benutzer gegeben hat.

Es muss:

aaa authorization exec default local

und nicht:

aaa authentication login default local

zumindest wenn ich micht mit Putty per SSH über die IP auf dem Switch verbinde.

Das zweite was ich noch habe ist wenn, ich dem Test Benutzer das recht gebe Interfaces in einer range zu Konfigurieren bekomme ich immer folgende Fehlermeldung:

#int range gi1/0/30-32
                                                                          ^
% Invalid input detected at '^' marker.  

Der Marker ist unter dem Bindestrich. Muss ich ihm irgendwie sagen das er den Bindestrich zulassen soll ? Aber wie?
Google war nicht sehr erfolgreich.

Das geht nur über ein Macro da das Range Kommando intern ein Batch aus mehreren IOS Kommandos ist.
define interface-range rangetest gi1/0/30-32
privilege exec level 2 configure
privilege configure level 2 interface range macro rangetest

Leider ohne Erfolg.

#int range gi1/0/30-32
% Invalid input detected at '^' marker.  

Der Marker ist unter dem Bindestrich.

Hier die kompetten Befehle:

conf t
aaa authorization exec default local
username Admin privilege 15 password yahoo
username test privilege 2 password 1234
privilege exec level 2 show running-config
privilege exec level 2 show configure
privilege exec level 2 show configure terminal
privilege exec level 2 configure
privilege exec level 2 configure terminal
privilege configure level 2 interface
privilege configure level 2 interface range macro rangetest 
define interface-range rangetest gi1/0/30-32
privilege interface level 2 switchport access vlan
privilege interface level 2 description
privilege interface level 2 power inline never
privilege interface level 2 shutdown
privilege interface level 2 switchport nonegotiate

Rennt hier auf einem Cat 3560 ohne Probleme:
https://community.cisco.com/t5/switching/configure-privilege-level/td-p/ ...

Zitat von @nullModem:

Leider ohne Erfolg.

#int range gi1/0/30-32
> % Invalid input detected at '^' marker.  

Der Marker ist unter dem Bindestrich.

Mach mal Leerzeichen vor und nach dem Bindestrich

define interface-range rangetest gi1/0/30 - 32

Interface Range Specification
Auszug

The space before the dash is required. For example, the command interface range gigabitethernet 1 - 5 is valid; the command interface range gigabitethernet 1-5 is not valid. 

Glaube ich dir. Bei mir leider nicht.
Den Link habe ich auch zwischenzeitlich gefunden

Catayst 2960x, 15.2(4)E7

@ timeout

Danke für den Tipp.
Das habe ich grade auch gemacht bekommen diese Meldung zurück und leider geht es auch nicht.

% interface range macro rangetest previously defined

interface range macro rangetest previously defined

Naja die Meldung ist doch eindeutig, oder kannst du kein Englisch? Setze den Range vorher nochmal mit no zurück.

no define interface-range ..............

Cisco bei dir "Neuland"?

Doch schon.
Nur wollte ich damit sagen das es leider nicht geklappt hat.

Zitat von @nullModem:

Doch schon.
Nur wollte ich damit sagen das es leider nicht geklappt hat.

WAS hat nicht geklappt?

Also, ich gebe folegendes ein:

privilege configure level 2 interface
define interface-range rangetest gi1/0/30 - 32
privilege configure level 2 interface range macro rangetest

Das steht auch in der running-config.

Und bekommen auch das zurück:

interface range macro rangetest previously defined

Nur wenn ich dann mit dem Test Benutzer diese Range nutzen will kommnt diese Meldung:

% Invalid input detected at '^' marker.

Der Marker ist unter dem Bindestrich

Les mal meinen letzten Post nochmal bitte! Ich hatte geschrieben setze erst den range nochmal zurück (no define ....) und definiere ihn dann neu! Er ist ja im jetzigen Zustand noch falsch definiert deswegen auch noch die Fehlermeldung.

Hattest du heute Morgen keinen Kaffee?? Etwas schwer von Begriff ...

Ja, hatte vorhin mit no den Befehl gelöscht.

Starte die Kiste grade neu (nicht gespeichert). Somit ein die Konfig raus und gebe neu ein.

aaa authorization exec default local
username Admin privilege 15 password yahoo
username test privilege 2 password 1234
privilege exec level 2 show running-config
privilege exec level 2 show configure
privilege exec level 2 show configure terminal
privilege exec level 2 configure
privilege exec level 2 configure terminal
privilege configure level 2 interface
privilege configure level 2 interface range macro rangetest
define interface-range rangetest gi1/0/30 - 32
privilege interface level 2 switchport access vlan
privilege interface level 2 description
privilege interface level 2 power inline never
privilege interface level 2 shutdown
privilege interface level 2 switchport nonegotiate

Das sollte ja so passen. Der Rest geht ja.

Und ja ich hatte keinen Kaffee.....

Neustart, ohne Erfolg.
Weis echt nicht mehr weiter.

Hier die Kurzform auf einem Cat 2960 mit deiner Konfig:

!
username admin password 0 cisco
username test privilege 2 password 0 1234
aaa new-model
!
aaa authentication login default local
aaa authorization exec default local
!
define interface-range iratest FastEthernet0/10 - 12
!
privilege interface level 2 switchport
privilege configure level 2 interface range macro
privilege configure level 2 interface range
privilege configure level 2 interface
privilege exec level 2 configure
privilege exec level 2 show running-config
privilege exec level 2 show
!

Funktioniert fehlerlos !! Guckst du hier:
User Access Verification

Username: test
Password:

Cat2960#configure
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.

Cat2960(config)#interface range macro iratest
Cat2960(config-if-range)#?
Interface configuration commands:
default_______Set a command to its defaults
exit__________Exit from interface configuration mode
help_________Description of the interactive help system
no__________Negate a command or set its defaults
switchport__Set switching mode characteristics

Cat2960(config-if-range)#switchport access vlan 1
Cat2960(config-if-range)#description Test
^
% Invalid input detected at '^' marker.

Cat2960(config-if-range)#exit
Cat2960(config)#
(description NICHT erlaubt für den User test !)

Works as designed !!!

Danke euch beiden für die Geduld mit mir.

Jetzt hat es funktioniert und ich denke ich weis auch meinen Fehler

Kann es sein das man in dem Benutzer Test nur das Macro aufruft und nicht die Portrange ?
Ich habe immer die Portrange aufgerufen

int range gig1/0/10-12

Jetzt wo ich das Macro aufrufe klappt es.

Jetzt hat es funktioniert

War ja eine schwere Geburt mit dir !

Kann es sein...

Ääähh, ja ! War dir ja oben schon erklärt worden, weil das Range Kommando intern im IOS ein Batch Kommando ist, was so über die Priviliges nicht steuerbar ist. Deshalb der Umweg über das Macro. Mit dem Macro "bastelt" man sich quasi eigene IOS Kommandos. Und ja, diese muss man dann auch angeben wenn man sie benutzen will...

Ja, das stimmt. Das war ne Geburt.
Vielen Dank für die Geduld und den Support.

Kann man eigentlich mehrere Macros baunen? Und wenn ja wieviele? (Möchte es nur mal so wissen)

Du kannst soviele Macros basteln wie du lustig bist. Cisco hat da kein Limit eingebaut. Außer...die Größe des Konfig Speichers.

Hallo,

eine kleine Frage kam mir gerade auf.

Ist es möglich das ein Benutzer nur bestimmt Port bearbeiten darf?

z.B . Port 10 - 20 darf er ändern und an den restlichen Ports nichts ändern darf.

Am besten ohne Macros wenn das geht.

Gruß

Das kannst du nicht lokal lösen sondern nur über eine TACAS+ Anbindung (RasPi z.B.)

Ok. Danke für die Antwort.
Hört sich für mich etwas schwierig am aber, sollte machbar sein. Einen Pi habe ich noch rumliegen oder ich erstelle mit ne VM mit Debian.
Gibt es speziell was zu beachten?