La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

TP - Vues CLI basées sur le rôle

Publié parMichel Beaupré Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "TP - Vues CLI basées sur le rôle"— Transcription de la présentation:

1 TP - Vues CLI basées sur le rôle
CFI_Site_Paris

2 Schéma du réseau - Objectifs
 Configurer les prérequis pour les vues basées sur le rôle  Valider AAA sur un routeur  Changer les vues sur un routeur  Créer des vues et des supervues - Scénario Dans le lab "Améliorer la sécurité d'un routeur", vous avez affecté des niveaux de privilège pour des commandes particulières entrées à l'invite de l'interface ligne de commande (CLI). Les utilisateurs reçoivent une autorisation pour les différents ensembles de commandes en s'authentifiant avec un mot de passe Dans ce lab, vous allez configurer les vues CLI basées sur le rôle, une nouvelle méthode pour contrôler quelles commandes de l'IOS Cisco un utilisateur peut exécuter. - Etape 1: Configurer un Enable Secret Password Fixer le enable secret password à "cisco" R1(config)# enable secret cisco - Etape 2: Valider AAA Une des exigences pour la configuration des vues CLI basées sur le rôle est de valider les services d'authentification, d'autorisation et d'accounting (AAA). Pour commencer, créez un compte utilisateur dans la base de données locale avec le nom d'utilisateur et le mot de passe "cisco". La base de données locale doit être la seule méthode d'authentification en cours d'utilisation. Si vous ne fixez pas une liste de méthodes de login par défaut quand vous validez AAA, vous pourrez ne pourrez plus entrer sur le routeur si votre session con- sole se termine. R1(config)# username cisco password cisco R1(config)# aaa new-model R1(config)# aaa authentication login default local Quand êtes vous invité à entrer un nom d'utilisateur et un mot de passe? S'il n'y a pas de compte utilisateur configuré dans la base de données locale, est-ce que les utilisateurs peuvent se logger? CFI_Site_Paris

3 avec celle de la commande show privilege. R1# show privilege
Décrivez le concept d'authentification en termes de réseau et types d'authentification standard. Décrivez le concept d'autorisation en termes de réseau et des items communs en besoin d'autorisation Etape 3: Changez la vue Root Les vues CLI basées sur le rôle constituent un système de configuration de rôles indivi- duels sur un routeur. Chaque rôle a accès à groupe de commandes spécifiques. Confi- gurer les rôles pour contrôler l'usage de commande est beaucoup plus granulaire que con- figurer des niveaux de privilège car donner plus de commandes à un utilisateur ne signifie pas nécessairement que cet utilisateur est autorisé à accéder à des commandes à un ni- veau de privilège plus bas. Cette méthode de configuration d'usage de commande est nou- velle, elle a été introduite dans l'IOS Cisco 12.3T. Au moment ou ce document a été écrit, vous pouvez configurer jusqu'à 15 vues non comprise la vue root. Pour voir la vue courante, utilisez la commande show parser view. comparez cette sortie avec celle de la commande show privilege. R1# show privilege Current privilege level is 15 R1# show parser view No view is active ! Currently in Privilege Level Context Les ensembles de commandes disponibles sont déterminés soit par le niveau de privilège soit par la vue en cours mais pas simultanément par les deux Pour configurer la fonctionnalité des vues, vous devez d'abord accéder à la vue root qui n'est pas la même que le niveau de privilège 15. Comme l'utilisateur root sous le système UNIX , la vue root a une autorisation totale pour toutes les commandes de la CLI. Entrez la commande enable view name en utilisant le mot-clé root pour le champ name. Prenez bien note que le mot de passe de la vue root est le même que le mot de passe ena- ble. Vous noterez qu'un message est affiché quand la vue est changée. Après être entré dans la vue root, affichez le niveau de privilège et la vue. R1# enable view root Password: cisco R1# *Feb 12 05:09:06.442: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'. R1# show privilege Currently in View Context with view 'root' Current view is 'root' CFI_Site_Paris

4 vilège. - Etape 4: Créer des vues
Pourquoi l'autorisation de commande doit être gérée par des vues ou des niveaux de pri- vilège Etape 4: Créer des vues La fonctionnalité des vues basées sur le rôle est assez facile à implémenter. Pour créer une vue, entrez la commande parser view name en mode de configuration global. Un message d'information qu'une nouvelle vue a été créée est affiché sur la console Créez une vue nommée INTVIEW qui a des capacités de supervision pour les interfaces physiques et logiques. Avant de définir l'ensemble de commandes de la vue, vous devez fixer un mot de passe pour la vue en utilisant la commande de configuration de vue secret password. Le mot de passe est stocké avec une valeur hachée MD5. Utilisez "iv" comme mot de passe. Choisissez les commandes pour la vue en utilisant la commande commands prompt include command-sequence. Affectez l'accès à cette vue à deux com- mandes: show interface et clear counters. R1(config)# parser view INTVIEW R1(config-view)# *Feb 12 05:12:32.954: %PARSER-6-VIEW_CREATED: view 'INTVIEW' successfully created. R1(config-view)# secret iv R1(config-view)# commands exec include show interface R1(config-view)# commands exec include clear counters Avant d'entrer dans la nouvelle vue, affichez les commandes qui viennent d'être ajoutées. R1# show run | section view parser view INTVIEW secret 5 $1$CPI4$HIAH8aEqPztTPW0VLBYT60 commands exec include show interfaces commands exec include show commands exec include clear counters commands exec include clear Quand vous affectez un niveau de privilège à une séquence de commandes, chaque mot- clé dans la séquence doit avoir une commande privilege correspondante dans la configu- ration. De manière similaire les séquences de vue basées sur le rôle doit explicitement autoriser les mots-clés séquencés dans les commandes CLI à cause de la manière dont l'interpréteur gère les commandes Entrez dans la vue INTVIEW avec la commande enable view name, en utilisant le mot de passe "iv" et entrez ? pour voir les commandes disponibles. R1# enable view INTVIEW Password: iv R1# *Feb 12 05:32:31.106: %PARSER-6-VIEW_SWITCH: successfully set to view 'INTVIEW'. CFI_Site_Paris

5 a différents ports, utilisez deux ports existants sur le routeurs.
Exec commands: clear Reset functions enable Turn on privileged commands exit Exit from the EXEC show Show running system information R1# show ? flash: Display information about flash: file system interfaces Interface status and configuration parser Display parser information R1# show interfaces FastEthernet0/0 is administratively down, line protocol is down Hardware is MV96340 Ethernet, address is (bia ) MTU 1500 bytes, BW Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 <Partie supprimée> R1# clear ? counters Clear counters on one or all interfaces R1# clear counters Clear "show interface" counters on all interfaces [confirm] R1# *Feb 12 05:32:55.318: %CLEAR-5-COUNTERS: Clear counter on all interfaces by console Sortez de la vue INTVIEW et entrez dans la vue root. R1# enable view root Password: cisco *Feb 12 05:35:25.174: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'. Créez une autre vue nommée INTSHUT et affectez l'accès à cette vue aux commandes shutdown et no shutdown pour les interfaces FastEthernet et les menus nécessaires pour configurer ces commandes. Le mot de passe pour cette vue est "is". Si votre routeur a différents ports, utilisez deux ports existants sur le routeurs. Quelles commandes devez-vous ajouter à cette vue pour autoriser l'accès défini ci-dessus? Vous devez affecter les commandes configure terminal, interface, interface Fastether- net0/0, interface FastEthernet0/1, shutdown et no shutdown à la vue INTSHUT. Entrez ces commandes comme suit: R1(config)# parser view INTSHUT R1(config-view)# *Feb 12 05:36:37.738: %PARSER-6-VIEW_CREATED: view 'INTSHUT' successfully created. CFI_Site_Paris

6 R1(config-view)# secret is
R1(config-view)# commands exec include configure terminal R1(config-view)# commands configure include interface R1(config-view)# commands configure include interface fastethernet0/0 R1(config-view)# commands configure include interface fastethernet0/1 R1(config-view)# commands interface include shutdown R1(config-view)# commands interface include no shutdown Entrez dans cette nouvelle vue pour tester ses privilèges. Utilisez de nouveau ? pour voir l'ensemble de commandes disponible. R1# configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)# ? Configure commands: do To run exec commands in config mode exit Exit from configure mode interface Select an interface to configure R1(config)# interface fastethernet0/0 R1(config-if)# ? Interface configuration commands: exit Exit from interface configuration mode no Negate a command or set its defaults shutdown Shutdown the selected interface R1(config-if)# no shutdown R1(config-if)# *Feb 12 06:28:36.394: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Feb 12 06:28:37.394: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R1(config-if)#shutdown Retour à la vue root. R1# enable view root Password: cisco R1# - Etape 5: Créer une supervue Une supervue est l'union d'une ou plusieurs vues normales. Elle est créée comme une vue normale mais vous utilisez le mot-clé supervue pour la définir. Nommez cette supervue NETADMIN avec le mot de passe "ia". Finalement ajoutez les deux vues existantes à cette supervue en utilisant la commande view name. R1(config)# parser view INTADMIN superview R1(config-view)# *Feb 12 06:35:06.566: %PARSER-6-SUPER_VIEW_CREATED: super view 'INTADMIN' successfully created. CFI_Site_Paris

7 la commande show parser view all. R1# show parser view all
R1(config-view)# secret ia R1(config-view)# view INTVIEW *Feb 12 06:35:21.086: %PARSER-6-SUPER_VIEW_EDIT_ADD: view INTVIEW added to superview INTADMIN. R1(config-view)# view INTSHUT *Feb 12 06:35:29.594: %PARSER-6-SUPER_VIEW_EDIT_ADD: view INTSHUT added to Pendant que vous êtes dans la vue root, affichez les vues et les supervues disponibles avec la commande show parser view all. R1# show parser view all Views/SuperViews Present in System: INTVIEW INTSHUT INTADMIN * (*) represent superview R1# Entrez dans cette vue et regardez quelles sont les commandes disponibles. R1# enable view INTADMIN Password: *Feb 12 06:36:31.774: %PARSER-6-VIEW_SWITCH: successfully set to view 'INTADMIN'. R1# ? Exec commands: clear Reset functions configure Enter configuration mode enable Turn on privileged commands exit Exit from the EXEC show Show running system information CFI_Site_Paris

Télécharger ppt "TP - Vues CLI basées sur le rôle"

Présentations similaires

1 Perte du Mot de passe Enable. AFNOG 2 Perte du mot du mot de passe enable Comment se connecter au routeur en cas de perte du mot de passe enable et.

1 Perte du Mot de passe Enable. AFNOG 2 Perte du mot du mot de passe enable Comment se connecter au routeur en cas de perte du mot de passe enable et.
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
Commandes pour Mots de passe

Commandes pour Mots de passe
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Perte du Mot de passe Enable

Perte du Mot de passe Enable
Terminaux virtuels (VTY)

Terminaux virtuels (VTY)
Configuration Sécurisée de l'IOS Cisco

Configuration Sécurisée de l'IOS Cisco
TP Sécurité - Configuration de Base d'un Routeur avec SDM

TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)

Registre de Configuration (Configuration Register)
Configuration - Diagnostics en ligne

Configuration - Diagnostics en ligne
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP

Configuration EIGRP et IGRP
Sécurité Contrôle du 4/11/2010 (Packet Tracer) - GR1 Cfi_CCH.

Sécurité Contrôle du 4/11/2010 (Packet Tracer) - GR1 Cfi_CCH.
Configuration Routeur SOHO77

Configuration Routeur SOHO77
AAA - Présentation ccnp_cch ccnp_cch.

AAA - Présentation ccnp_cch ccnp_cch.
Plateformes supportées d'adresse MAC unique sur des interfaces VLAN

Plateformes supportées d'adresse MAC unique sur des interfaces VLAN
Vérification du Système fichiers et réparation

Vérification du Système fichiers et réparation

Présentations similaires

Annonces Google