TP - Vues CLI basées sur le rôle

Slides:



Advertisements
Présentations similaires
1 Perte du Mot de passe Enable. AFNOG 2 Perte du mot du mot de passe enable Comment se connecter au routeur en cas de perte du mot de passe enable et.
Advertisements

Effacer la Configuration LWAPP sur un LAP
Commandes pour Mots de passe
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Perte du Mot de passe Enable
Terminaux virtuels (VTY)
Configuration Sécurisée de l'IOS Cisco
TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)
Configuration - Diagnostics en ligne
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
Sécurité Contrôle du 4/11/2010 (Packet Tracer) - GR1 Cfi_CCH.
Configuration Routeur SOHO77
AAA - Présentation ccnp_cch ccnp_cch.
Plateformes supportées d'adresse MAC unique sur des interfaces VLAN
Vérification du Système fichiers et réparation
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration BGP de base
Configuration de base de AAA sur un Server d'accès
Configuration des noms de Communautés
Commande show standby ccnp_cch ccnp_cch.
(Switch Database Management)
OSPF - Configuration initiale sur Liaisons Non-Broadcast
Spanning-Tree classique
Transfert de fichiers utilisant HTTP ou HTTPS
Paris S0/0 500 Kb/s S0/0 Switch S0/2 S0/1 128 Kb/s 128 Kb/s S0/0 S0/0
TP - Spanning-Tree - Per-VLAN Spanning-tree
Sécurité 11/2010 (Packet Tracer) - Cfi_CCH.
Sous-résaux LAN dupliqués
TP Hot Standby Router Protocol (HSRP)
Hot Standby Router Protocol standby preempt et standby track
NAT - Supervision et Maintenance
Préparation de mise à jour
TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM
Configuration d'une Passerelle par défaut avec les commandes IP
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Proxy ARP ccnp_cch ccnp_cch.
Support de NAT pour IPSec ESP Phase II
Configuration de Voice VLAN
Sécurité Contrôle du 4/11/2010 (Packet Tracer) - GR2 Cfi_CCH.
QoS - Configuration RSVP
Sécurité - Configuration de
Sécurité - Configuration de -
QoS - Appliquer la QoS à des Sous-interfaces
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Changer les critères de nommage
RIP - Configuration des Extensions.
trois réseaux internes
interfaces de couche 3 Commutateur Catalyst 4006
Commande show dialer ccnp_cch ccnp_cch.
TP - Spanning-Tree - Multiple Spanning-tree
TP - IPv6 Tunnels Manuels
Commande show vtp ccnp_cch ccnp_cch.
entre trois routeurs utilisant des
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration de groupes l'autorisation via ASDM
QoS - Configuration Fragmentation
Configuration Frame Relay "Weighted Fair Queuing"
QoS - Configuration de COPS pour RSVP
La gestion des habilitations par le partenaire
Transcription de la présentation:

TP - Vues CLI basées sur le rôle CFI_Site_Paris

Schéma du réseau - Objectifs  Configurer les prérequis pour les vues basées sur le rôle  Valider AAA sur un routeur  Changer les vues sur un routeur  Créer des vues et des supervues - Scénario Dans le lab "Améliorer la sécurité d'un routeur", vous avez affecté des niveaux de privilège pour des commandes particulières entrées à l'invite de l'interface ligne de commande (CLI). Les utilisateurs reçoivent une autorisation pour les différents ensembles de commandes en s'authentifiant avec un mot de passe. Dans ce lab, vous allez configurer les vues CLI basées sur le rôle, une nouvelle méthode pour contrôler quelles commandes de l'IOS Cisco un utilisateur peut exécuter. - Etape 1: Configurer un Enable Secret Password Fixer le enable secret password à "cisco". R1(config)# enable secret cisco - Etape 2: Valider AAA Une des exigences pour la configuration des vues CLI basées sur le rôle est de valider les services d'authentification, d'autorisation et d'accounting (AAA). Pour commencer, créez un compte utilisateur dans la base de données locale avec le nom d'utilisateur et le mot de passe "cisco". La base de données locale doit être la seule méthode d'authentification en cours d'utilisation. Si vous ne fixez pas une liste de méthodes de login par défaut quand vous validez AAA, vous pourrez ne pourrez plus entrer sur le routeur si votre session con- sole se termine. R1(config)# username cisco password cisco R1(config)# aaa new-model R1(config)# aaa authentication login default local Quand êtes vous invité à entrer un nom d'utilisateur et un mot de passe? S'il n'y a pas de compte utilisateur configuré dans la base de données locale, est-ce que les utilisateurs peuvent se logger? CFI_Site_Paris

avec celle de la commande show privilege. R1# show privilege Décrivez le concept d'authentification en termes de réseau et types d'authentification standard. Décrivez le concept d'autorisation en termes de réseau et des items communs en besoin d'autorisation. - Etape 3: Changez la vue Root Les vues CLI basées sur le rôle constituent un système de configuration de rôles indivi- duels sur un routeur. Chaque rôle a accès à groupe de commandes spécifiques. Confi- gurer les rôles pour contrôler l'usage de commande est beaucoup plus granulaire que con- figurer des niveaux de privilège car donner plus de commandes à un utilisateur ne signifie pas nécessairement que cet utilisateur est autorisé à accéder à des commandes à un ni- veau de privilège plus bas. Cette méthode de configuration d'usage de commande est nou- velle, elle a été introduite dans l'IOS Cisco 12.3T. Au moment ou ce document a été écrit, vous pouvez configurer jusqu'à 15 vues non comprise la vue root. Pour voir la vue courante, utilisez la commande show parser view. comparez cette sortie avec celle de la commande show privilege. R1# show privilege Current privilege level is 15 R1# show parser view No view is active ! Currently in Privilege Level Context Les ensembles de commandes disponibles sont déterminés soit par le niveau de privilège soit par la vue en cours mais pas simultanément par les deux. Pour configurer la fonctionnalité des vues, vous devez d'abord accéder à la vue root qui n'est pas la même que le niveau de privilège 15. Comme l'utilisateur root sous le système UNIX , la vue root a une autorisation totale pour toutes les commandes de la CLI. Entrez la commande enable view name en utilisant le mot-clé root pour le champ name. Prenez bien note que le mot de passe de la vue root est le même que le mot de passe ena- ble. Vous noterez qu'un message est affiché quand la vue est changée. Après être entré dans la vue root, affichez le niveau de privilège et la vue. R1# enable view root Password: cisco R1# *Feb 12 05:09:06.442: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'. R1# show privilege Currently in View Context with view 'root' Current view is 'root' CFI_Site_Paris

vilège. - Etape 4: Créer des vues Pourquoi l'autorisation de commande doit être gérée par des vues ou des niveaux de pri- vilège. - Etape 4: Créer des vues La fonctionnalité des vues basées sur le rôle est assez facile à implémenter. Pour créer une vue, entrez la commande parser view name en mode de configuration global. Un message d'information qu'une nouvelle vue a été créée est affiché sur la console. Créez une vue nommée INTVIEW qui a des capacités de supervision pour les interfaces physiques et logiques. Avant de définir l'ensemble de commandes de la vue, vous devez fixer un mot de passe pour la vue en utilisant la commande de configuration de vue secret password. Le mot de passe est stocké avec une valeur hachée MD5. Utilisez "iv" comme mot de passe. Choisissez les commandes pour la vue en utilisant la commande commands prompt include command-sequence. Affectez l'accès à cette vue à deux com- mandes: show interface et clear counters. R1(config)# parser view INTVIEW R1(config-view)# *Feb 12 05:12:32.954: %PARSER-6-VIEW_CREATED: view 'INTVIEW' successfully created. R1(config-view)# secret iv R1(config-view)# commands exec include show interface R1(config-view)# commands exec include clear counters Avant d'entrer dans la nouvelle vue, affichez les commandes qui viennent d'être ajoutées. R1# show run | section view parser view INTVIEW secret 5 $1$CPI4$HIAH8aEqPztTPW0VLBYT60 commands exec include show interfaces commands exec include show commands exec include clear counters commands exec include clear Quand vous affectez un niveau de privilège à une séquence de commandes, chaque mot- clé dans la séquence doit avoir une commande privilege correspondante dans la configu- ration. De manière similaire les séquences de vue basées sur le rôle doit explicitement autoriser les mots-clés séquencés dans les commandes CLI à cause de la manière dont l'interpréteur gère les commandes. Entrez dans la vue INTVIEW avec la commande enable view name, en utilisant le mot de passe "iv" et entrez ? pour voir les commandes disponibles. R1# enable view INTVIEW Password: iv R1# *Feb 12 05:32:31.106: %PARSER-6-VIEW_SWITCH: successfully set to view 'INTVIEW'. CFI_Site_Paris

a différents ports, utilisez deux ports existants sur le routeurs. Exec commands: clear Reset functions enable Turn on privileged commands exit Exit from the EXEC show Show running system information R1# show ? flash: Display information about flash: file system interfaces Interface status and configuration parser Display parser information R1# show interfaces FastEthernet0/0 is administratively down, line protocol is down Hardware is MV96340 Ethernet, address is 0019.0623.4380 (bia 0019.0623.4380) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 <Partie supprimée> R1# clear ? counters Clear counters on one or all interfaces R1# clear counters Clear "show interface" counters on all interfaces [confirm] R1# *Feb 12 05:32:55.318: %CLEAR-5-COUNTERS: Clear counter on all interfaces by console Sortez de la vue INTVIEW et entrez dans la vue root. R1# enable view root Password: cisco *Feb 12 05:35:25.174: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'. Créez une autre vue nommée INTSHUT et affectez l'accès à cette vue aux commandes shutdown et no shutdown pour les interfaces FastEthernet et les menus nécessaires pour configurer ces commandes. Le mot de passe pour cette vue est "is". Si votre routeur a différents ports, utilisez deux ports existants sur le routeurs. Quelles commandes devez-vous ajouter à cette vue pour autoriser l'accès défini ci-dessus? Vous devez affecter les commandes configure terminal, interface, interface Fastether- net0/0, interface FastEthernet0/1, shutdown et no shutdown à la vue INTSHUT. Entrez ces commandes comme suit: R1(config)# parser view INTSHUT R1(config-view)# *Feb 12 05:36:37.738: %PARSER-6-VIEW_CREATED: view 'INTSHUT' successfully created. CFI_Site_Paris

R1(config-view)# secret is R1(config-view)# commands exec include configure terminal R1(config-view)# commands configure include interface R1(config-view)# commands configure include interface fastethernet0/0 R1(config-view)# commands configure include interface fastethernet0/1 R1(config-view)# commands interface include shutdown R1(config-view)# commands interface include no shutdown Entrez dans cette nouvelle vue pour tester ses privilèges. Utilisez de nouveau ? pour voir l'ensemble de commandes disponible. R1# configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)# ? Configure commands: do To run exec commands in config mode exit Exit from configure mode interface Select an interface to configure R1(config)# interface fastethernet0/0 R1(config-if)# ? Interface configuration commands: exit Exit from interface configuration mode no Negate a command or set its defaults shutdown Shutdown the selected interface R1(config-if)# no shutdown R1(config-if)# *Feb 12 06:28:36.394: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Feb 12 06:28:37.394: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R1(config-if)#shutdown Retour à la vue root. R1# enable view root Password: cisco R1# - Etape 5: Créer une supervue Une supervue est l'union d'une ou plusieurs vues normales. Elle est créée comme une vue normale mais vous utilisez le mot-clé supervue pour la définir. Nommez cette supervue NETADMIN avec le mot de passe "ia". Finalement ajoutez les deux vues existantes à cette supervue en utilisant la commande view name. R1(config)# parser view INTADMIN superview R1(config-view)# *Feb 12 06:35:06.566: %PARSER-6-SUPER_VIEW_CREATED: super view 'INTADMIN' successfully created. CFI_Site_Paris

la commande show parser view all. R1# show parser view all R1(config-view)# secret ia R1(config-view)# view INTVIEW *Feb 12 06:35:21.086: %PARSER-6-SUPER_VIEW_EDIT_ADD: view INTVIEW added to superview INTADMIN. R1(config-view)# view INTSHUT *Feb 12 06:35:29.594: %PARSER-6-SUPER_VIEW_EDIT_ADD: view INTSHUT added to Pendant que vous êtes dans la vue root, affichez les vues et les supervues disponibles avec la commande show parser view all. R1# show parser view all Views/SuperViews Present in System: INTVIEW INTSHUT INTADMIN * -------(*) represent superview------- R1# Entrez dans cette vue et regardez quelles sont les commandes disponibles. R1# enable view INTADMIN Password: *Feb 12 06:36:31.774: %PARSER-6-VIEW_SWITCH: successfully set to view 'INTADMIN'. R1# ? Exec commands: clear Reset functions configure Enter configuration mode enable Turn on privileged commands exit Exit from the EXEC show Show running system information CFI_Site_Paris

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.