Cisco View : Accès au CLI basé sur les rôles

I. Présentation

Avez-vous déjà pensé à définir les commandes à taper par chaque personne de votre équipe au niveau des équipements Cisco ?

Avec les nouvelles version IOS de Cisco, cette fonctionnalité est maintenant disponible à partir de la version 15.3, cette option s’appelle les « view » et permet de contrôler les commandes à saisir par les utilisateurs qui ont accès à ces équipements.

Par exemple, on peut permettre à un stagiaire de taper les commandes qui commencent par « show » à partir du mode exec. Par ailleurs, depuis le même mode exec on peut interdire à un compte précis la visualiation de la configuration de notre équipement avec la commande « show running-config ».

II. Procédure

Dans cette seconde partie nous allons voir comment configurer les view sur un équipement cisco.

Activer le modèle AAA :

Router(config)#aaa new-model

Créer le nom de notre view (dans notre cas le nom sera "it-connect") :

ROUTER(config)# parser view it-connect

Une fois que nous avons validé le nom de notre view, nous passerons au mode config-view.

Cette étape consiste à définir un mot de passe pour notre view.

ROUTER(config-view) # secret itconnect

Par exemple on souhaite permettre à un utilisateur de saisir seulement les commandes qui commencent par « show » et lui autoriser d’accéder au mode configuration afin de configurer le routage puis lui interdire d’afficher la configuration en cours et les détails des interfaces d’un équipement avec la commande « show running-config » et « show interfaces »

ROUTER(config-view)# commands exec include all show
ROUTER(config-view)# commands exec exclude show running-config
ROUTER(config-view)# commands exec exclude show interfaces
ROUTER(config-view)# commands exec include configure terminal
ROUTER(config-view)# commands configure include all router

On crée un utilisateur puis on lui associe la « view » que nous avons déjà préparé.

ROUTER(config)# username user01 view it-connect secret password mypass

Pour tester notre configuration, on s’authentifie sur l’équipement avec notre compte en passant par le protocole SSH ou Telnet.

On se connecte à notre view par la commande enable view view-name

ROUTER> enable view it-connect
Password : (c’est le mot de passe secret définit dans la configuration view)

Faire un test de notre configuration :

ROUTER# show ?
 aaa Show AAA values
 aal2 Show commands for AAL2
 access-expression List access expression

system
 --More—

ROUTER#show running-config
 ^
 % Invalid input detected at '^' marker.

ROUTER(config)#?
 Configure commands:
 do-exec To run exec commands in config mode
 exit Exit from configure mode
 router Enable a routing process

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Hassan El Amri

Je suis un geek passionné par l'informatique et les nouvelles technologies depuis mon plus jeune âge, le site IT-Connect pour moi une opportunité immanquable afin de partager mes connaissances en termes de sécurité, réseau et système.N'hésitez pas à revenir vers moi si vous avez des questions concernant mes articles.

    hassan-elamri a publié 5 articles sur IT-Connect.See all posts by hassan-elamri

    7 réactions sur “Cisco View : Accès au CLI basé sur les rôles

    • 06/05/2017 à 09:09
      Permalink

      Courage mystro et merci bq pour les infos

      Répondre
    • 17/05/2017 à 12:29
      Permalink

      Bonjour merci pour ce tut
      mais faudrait aussi ajouter la nécessité d’avoir un enable pwd configuré et activer le enable view sinon on aura un  » No view Active! Switch to View Context  »
      merci encore

      Répondre
      • 17/05/2017 à 14:27
        Permalink

        Bonjour Gael,

        En fait un enable pwd n’est pas obligé dans ce cas, car l’objectif c’est qu’on rentre à notre view avec la commande enable view.
        On peut cependant dépasser de taper la commande enable view à l’entrée en passant par le module AAA.

        Répondre

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *