我想让初级员工对思科路由器上的configuration进行一些更改。 我不太喜欢泄露启用密码,但是如果我至less可以保留一些configuration命令,我会感觉更好。
他们只需要能够在configuration中调整NAT / PAT语句。 所以他们需要能够做到以下几点,例如:
no ip nat inside source static tcp 192.168.1.**1** 9100 1.1.1.1 9101
ip nat inside source static tcp 192.168.1.**2** 9100 1.1.1.1 9101
有没有办法限制他们只是这些types的命令? 路由器是运行IOS版本15.0的Cisco 1941s
您需要将命令的特权级别从默认值15(启用)更改为较低级别,然后为每个用户名称指定一个足够的特权级别来运行这些命令。
像这样的东西应该做的工作:
privilege configure level 6 ip nat privilege configure level 6 ip privilege exec level 6 configure terminal privilege exec level 6 configure username junior privilege 6 password 0 juniorpass
根据您的小组的规模,思科生产一个产品来完成这个称为思科安全访问控制系统 。 实质上,pipe理员可以使用他们自己的个人帐户login路由器,每次运行命令时,路由器都会询问ACS是否允许该人员运行该命令。 因此,您可以非常精确地pipe理pipe理员所能做的事情,并在不幸的情况下让您在任何时候closures访问权限。 它可以通过RADIUS进行后台pipe理,用于对Active Directory等源进行集中式身份validation。