root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Parser Views for Role Based Access Control


Cấu hình parser view và phân quyền cho các user thuộc các profiles của các parser view chỉ được thực hiện các lệnh mà chúng ta định nghĩa trong các profile của parser view
- Download file config: DOWNLAOD
- Video hướng dẫn cấu hình Parser view trên Switch 2960

- Tam khảo thêm bài lab AAA local sử dụng privilege level tại đây:
http://svuit.vn/threads/authentication-and-authorization-privilege-level-telnet-switch-1246/

- Có thể xem thêm các bài lý thuyết và Lab cisco aaa configuration
http://svuit.vn/threads/tong-hop-lab-cisco-aaa-1225/

I/ Mục tiêu cấu hình parser view


Yêu cầu:
- Tạo username và password local trên switch tương ứng với các profiles của các Parser View.
  • Tạo user “svuit-admin” thuộc Parser view “SVUIT-ADMIN”.
  • Tạo user “svuit-staff” thuộc Parser view “SVUIT-STAFF”.
  • Tạo user “svuit-it” thuộc Parser view “SVUIT-IT”.
- Khi người dùng telnet vào Switch thì nó sẽ yêu cầu người dùng chứng thực với username và password local trên Switch.

- cấu hình authorization cho các user tương ứng:
  • Username “svuit-staff” có quyền “show ip …” và “show version” trên Switch.
  • Username “svuit-it” có quyền “show running-config” và vào mode config của Switch.
  • Username “svuit-admin” có quyền đầy đủ các quyền mà user “svuit-staff” và “svuit-it”.
II. Cấu hình Parser View trên Switch
Cấu hình authentication telnet switch. Khi người dùng authentication thành công thì chúng ta sẽ cấp quyền (authorization) cho user đó theo cấp độ quyền (privilege level) mà user đó thuộc.

- Đặt IP cho interface vlan 1
Code:
Switch(config)# interface vlan 1
Switch(config-if)# ip address 10.123.10.250 255.255.255.0

- Bật tính năng AAA trên Switch. Khi người dùng remote vào switch thì sẽ yêu cầu người dùng chứng thực username và password.
Code:
Switch(config)# aaa new-model

- Tạo username và password local trên switch tương ứng với các profiles của các Parser View.
  • Tạo user “svuit-admin” thuộc Parser view “SVUIT-ADMIN”.
  • Tạo user “svuit-staff” thuộc Parser view “SVUIT-STAFF”.
  • Tạo user “svuit-it” thuộc Parser view “SVUIT-IT”.
Code:
Switch(config)#Switch(config)#username svuit-admin view SVUIT-ADMIN secret svuit.vn
Switch(config)#username svuit-staff view SVUIT-STAFF secret svuit.vn
Switch(config)#username svuit-it view SVUIT-IT secret svuit.vn

- Khi người dùng chứng thực thành công thì phải phân quyền cho người dùng đó
Code:
Switch(config)#aaa authorization exec default local

- Cấu hình các user thuộc Parser view “SVUIT-STAFF” được sử dụng các lệnh “show version, show ip interface brief,…”
Code:
Switch(config)# parser view SVUIT-STAFF
Switch(config)# secret 5 svuit.vn
Switch(config)# commands exec include show ip interface brief
Switch(config)# commands exec include show ip interface
Switch(config)# commands exec include show ip
Switch(config)# commands exec include show version
Switch(config)# commands exec include show interfaces
Switch(config)# commands exec include show

- Cấu hình các user thuộc Parser view “SVUIT-IT” được sử dụng các lệnh “configure terminal, show running-config, debug,…”
Code:
Switch(config)# parser view SVUIT-IT
Switch(config)# secret 5 svuit.vn
Switch(config)# commands exec include all configure terminal
Switch(config)# commands exec include configure
Switch(config)# commands exec include show running-config
Switch(config)# commands exec include show
Switch(config)# commands exec include all debug

- Cấu hình user thuộc Parser view “SVUIT-ADMIN” được sử dụng toàn bộ các lênh thuộc Parser View “SVUIT-IT” và “SVUIT-STAFF”.
Code:
Switch(config)# parser view SVUIT-ADMIN superview
Switch(config)# secret 5 svuit.vn
Switch(config)# view SVUIT-STAFF
Switch(config)# view SVUIT-IT

- Kích hoạt các profiles của Parser View “SVUIT-ADMIN”, “SVUIT-IT” và “SVUIT-STAFF”.
Code:
Switch#enable view SVUIT-ADMIN
Switch#enable view SVUIT-STAFF
Switch#enable view SVUIT-IT

III. kiểm tra cấu hình parser view
- Các bạn thực hiện telnet vào switch và chứng thực với user “svuit-staff”.
  • Các bạn sử dụng lệnh “show parser view” để thấy user “svuit-staff” đang thuộc parser view của “SVUIT-STAFF”.
- Các bạn có thể thực hiện các lệnh “show ip interface brief” trên Switch.
- Tuy nhiên, các bạn có thể “show run” và không thể vào mode config của Switch.

X5oOEd__AMhwwjWwYbElVp14q_-JTQPNvNez0FC5SkzI2EToZtJC4uS1TyoTbF40KPW2UDpR1B3SpvQtmCvAPBkTS712XWWbKHNnLj_h3ZZ50iD7ixTeFYzS42EHJYlkJuj45IyTiNxcIfm9LA



- Các bạn thực hiện telnet vào switch và chứng thực với user “svuit-it”.
- Các bạn sử dụng lệnh “show parser view” để thấy user “svuit-it” đang thuộc parser view của “SVUIT-IT”.
  • Các bạn có thể thực hiện lệnh “show running-config” và vào mode Config của Switch.
- Tuy nhiên, user “svuit-it” thuộc parser view “SVUIT-IT” không thể sử dụng các lệnh
  • Các bạn không thể “show ip int brief

D8qyumn-3PTxMDCqyv_3oYYgX-WVNuu7pRR-xHsZKEeDQsKngqm0LRuAt3OYb2qGmhX3AdbH1XsJJyDWo6sfW0wQavdIWTP9DwiaQkdXwyHbbaTTFiqWpNdAkh98CJOZtW0QkJ5MGdwWVWVI3w



- Các bạn thực hiện telnet vào switch và chứng thực với user “svuit-admin”.

- Các bạn sử dụng lệnh “show parser view” để thấy user “svuit-admin” đang thuộc parser view của “SVUIT-ADMIN”. Đây là super parser view được kết hợp bởi parser view “SVUIT-IT” và “SVUIT-STAFF”. Nên user thuộc parser view “SVUIT-ADMIN” có thể sử dụng tất cả các lệnh của parser “SVUIT-IT” và “SVUIT-STAFF”.
  • Các bạn có thể thực hiện lệnh “show running-config” và vào mode Config của Switch. Dựa vào parser view “SVUIT-IT”.
  • Các bạn có thể thực hiện lệnh “show ip interface brief” trên Switch thuộc parser view “SVUIT-STAFF”.
daLxdY0UKkOIa1kpLtWwkifbl6hAm_1p-YNZb2BDeKs0iH8Duoo8dARb6T0KdGG9crMWZ7Z5JBmzaXb7aSZC8QbCZp4OAcXVbDUgAVK-w08NjSBzy8VIVOtXLgbo3XT6yFYKlLZMTDET8NbDaw
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu