acs (access control server)
TRANSCRIPT
Cisco: acceso basado en funciones
Acceso basado en funciones es una tecnologa que permite crear
perfiles de acceso a los dispositivos de cisco. Puede ser muy til
en entornos donde varios administradores de red administran los
mismos dispositivos, pero con distintos privilegios.
El proceso de creacin de una plantilla (view) empieza habilitando
(Authorization, Authentication, Accounting):Router(config)#aaa
new-model
Ahora habilitamos root view el unico modo que permite crear
plantillas de acceso:
Router#enable view
Al ejecutar este comando el sistema nos pedir la contrasea enable
(puesta con el comando enable secret [password]).
Ahora podemos crear la nueva plantilla. Por ejemplo, vamos a crear
dos plantillas de acceso: ST_ONLY y SP_ONLY. La primera permitir al
administrador ejecutar los comandos que empiezan por show y telnet.
La segunda permitir ejecutar los comandos que empiezan por show y
ping. Despus vamos a establecer una contrasea a cada View (ojo! la
contrasea no para el usuario, pero para el View).
Router(config)#parser view ST_ONLY*Oct 17 20:58:12.943:
%PARSER-6-VIEW_CREATED: view 'ST_ONLY' successfully
created.Router(config-view)#secret
pass2stRouter(config-view)#commands exec include all
showRouter(config-view)#commands exec include all
telnetRouter(config)#parser view SP_ONLY*Oct 17 21:00:12.771:
%PARSER-6-VIEW_CREATED: view 'SP_ONLY' successfully
created.Router(config-view)#secret
pass2spRouter(config-view)#commands exec include
showRouter(config-view)#commands exec include ping
En el caso de necesidad podemos crear tal llamado Super View, la
plantilla que une los dos Views creados en el paso
anterior.Router(config)#parser view SUP_VIEW
superviewRouter(config-view)#secret
pass2sviewRouter(config-view)#view ST_ONLYRouter(config-view)#view
SP_ONLY
Ahora podemos crear los usuarios y asignar a cada uno su propia
plantilla de acceso:Router(config)#username st_admin view ST_ONLY
secret cisco1Router(config)#username sp_admin view SP_ONLY secret
cisco2Router(config)#username sview_admin view SUP_VIEW secret
cisco3
Un ejemplo completo de sein de
configuracinRouter>enableRouter#configure terminalEnter
configuration commands, one per line. End with
CNTL/Z.Router(config)#aaa new-modelRouter(config)#enable secret
supersecretciscopasswordRouter(config)#exit*Oct 17 21:13:37.511:
%SYS-5-CONFIG_I: Configured from console by consoleRouter#enable
viewPassword:Router#*Oct 17 21:13:56.035: %PARSER-6-VIEW_SWITCH:
successfully set to view 'root'.Router#configure terminalEnter
configuration commands, one per line. End with
CNTL/Z.Router(config)#parser view ST_ONLY*Oct 17 21:14:41.699:
%PARSER-6-VIEW_CREATED: view 'ST_ONLY' successfully
created.Router(config-view)#secret
pass2stRouter(config-view)#commands exec include all
showRouter(config-view)#commands exec include all
telnetRouter(config-view)#exitRouter(config)#Router(config)#parser
view SP_ONLY*Oct 17 21:15:32.279: %PARSER-6-VIEW_CREATED: view
'SP_ONLY' successfully created.Router(config-view)#secret
pass2spRouter(config-view)#commands exec include all
showRouter(config-view)#commands exec include all
pingRouter(config-view)#exitRouter(config)#Router(config)#parser
view SUP_VIEW superview*Oct 17 21:16:31.783:
%PARSER-6-SUPER_VIEW_CREATED: super view 'SUP_VIEW' successfully
created.Router(config-view)#secret
pass2sviewRouter(config-view)#view ST_ONLY*Oct 17 21:17:39.451:
%PARSER-6-SUPER_VIEW_EDIT_ADD: view ST_ONLY added to superview
SUP_VIEW.Router(config-view)#view SP_ONLY*Oct 17 21:17:44.083:
%PARSER-6-SUPER_VIEW_EDIT_ADD: view SP_ONLY added to superview
SUP_VIEW.Router(config-view)#exitRouter(config)#username st_admin
view ST_ONLY secret cisco1Router(config)#username sp_admin view
SP_ONLY secret cisco2Router(config)#username sview_admin view
SUP_VIEW secret cisco3Router(config)#aaa authentication login
default localRouter(config)#aaa authorization exec default
localRouter(config)#aaa authorization
consoleRouter(config)#exitRouter#wrBuilding configuration*Oct 17
21:23:19.771: %SYS-5-CONFIG_I: Configured from console by
console[OK]Router#
Ahora al entrar en el sistema, los usuarios st_admin, sp_admin
sview_admin disponen de un numero de comandos muy limitado.
Por ejemplo, la sesin del usuario st_admin seria parecida a
esto:Username: st_adminPassword:Router>?Exec commands:enable
Turn on privileged commandsexit Exit from the EXECshow Show running
system informationtelnet Open a telnet connection