我认为我可以通过执行以下操作来完成此操作:
privilege cmd level 6 mode exec command user
但在具有该权限级别的用户下,用户只能执行以下操作
user newuser
他们无法指定密码和权限级别。
也许有更好的/其他方法可以做到这一点?
答案1
在执行模式下,user扩展为user-alert;这不是你想要的。
你可能正在寻找更多类似这样的内容:
privilege cmd level 6 mode configure command username
然后可能对配置用户名模式有一些允许:
privilege cmd level 6 mode username command service-type
privilege cmd level 6 mode username command group-lock
...
但除了思考练习之外,这毫无意义。如果我是受限制的 6 级用户,并且我被允许username在配置模式下运行命令,那么我可以为自己创建一个 15 级用户;实施完全无效的限制只是浪费精力。Adam 说得完全正确,应该使用 TACACS+。