我想允许初级员工对我们的 Cisco 路由器的配置进行某些更改。我不太喜欢泄露启用密码,但如果我至少可以让他们只使用几个配置命令,我会感觉好一些。
他们只需要能够在配置中调整 NAT/PAT 语句。因此,他们需要能够执行以下操作,例如:
no ip nat inside source static tcp 192.168.1.**1** 9100 1.1.1.1 9101
ip nat inside source static tcp 192.168.1.**2** 9100 1.1.1.1 9101
有没有办法将它们限制为仅这些类型的命令?路由器是运行 IOS 版本 15.0 的 Cisco 1941
答案1
您需要将命令的权限级别从默认的 15(启用)更改为较低级别,然后赋予每个用户名足够的权限级别来运行这些命令。
像这样的事情应该可以完成这项工作:
privilege configure level 6 ip nat
privilege configure level 6 ip
privilege exec level 6 configure terminal
privilege exec level 6 configure
username junior privilege 6 password 0 juniorpass
答案2
根据你的团队规模,思科生产了一款专门用于实现这一目标的产品,称为思科安全访问控制系统。本质上,管理员将使用自己的个人帐户登录路由器,每次运行命令时,路由器都会询问 ACS 是否允许该人运行该命令。这样您就可以极其详细规定管理员可以做什么,并且让您能够在发生不幸情况时随时关闭他们的访问权限。它可以由 RADIUS 提供支持,以便针对 Active Directory 等来源进行集中身份验证。