古河電工ネットワーク機器の総合ブランド ファイテルネット
設定例
設定を許可するユーザを制限する
概要
Telnetログイン時の認証(authentication)、権限許可(authorization)の設定を行うことにより、ログイン後のユーザレベル(Privilege 0〜15)を付与し、実行可能コマンドを制限します。
本設定例では、下記3ユーザの差別化を行います。
基本設定モードの移行に関しては、コマンド(configuration terminal)を高レベルに変更することにより、基本設定モードに移行できるユーザとできないユーザを差別化する事とします。
コンソールログインもTelnetログインと同じ内容で許可する設定を行います。
本設定例では、下記3ユーザの差別化を行います。
基本設定モードの移行に関しては、コマンド(configuration terminal)を高レベルに変更することにより、基本設定モードに移行できるユーザとできないユーザを差別化する事とします。
コンソールログインもTelnetログインと同じ内容で許可する設定を行います。
| ユーザ名 | 権限名称 | ユーザレベル | プロンプト | ユーザモード | ユーザ特権モード | 基本設定モード |
|---|---|---|---|---|---|---|
| USER0001 | システム管理 | 15 | (config)# | ○ | ○ | ○ |
| USER0002 | システム保守 | 14 | # | ○ | ○ | × |
| USER0003 | 一般ユーザ | 1 | > | ○ | × | × |
補足・注意点
認証方式については、RADIUSやTACACS+などありますが、本設定例では装置に設定する認証情報 (local) で認証する事とします。
FTP,SSH(SSH, SCP, SFTP)に関しては本設定でユーザを制限することができませんので以下の設定を追加してください。
ftp-server allowusers
ssh-server allowusers
本設定例ではユーザ名"USER0001"のみFTPログインができる設定を行います。
FTP,SSH(SSH, SCP, SFTP)に関しては本設定でユーザを制限することができませんので以下の設定を追加してください。
ftp-server allowusers
ssh-server allowusers
本設定例ではユーザ名"USER0001"のみFTPログインができる設定を行います。
ユーザレベル
0〜15までの数字で表現され、数字が大きい程、強い権限が与えられます。
設定データの例
| 管理者 | 保守員 | 一般ユーザ | |
|---|---|---|---|
| ログインID | USER0001 | USER0002 | USER0003 |
| ログインパスワード | admin0001 | hoshu0002 | guest0003 |
| ユーザレベル | 15 | 14 | 1 |
| enableのコマンドレベル | 14 | ||
| configer terminalのコマンドレベル | 15 | ||
| LANアドレス | 192.168.0.254/24 | ||
コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
! ! ! 特権ユーザモードに移行します。 ! > enable password: super ←パスワードを入力します。(実際は表示されない) ! ! ! 基本設定モードに移行します。 ! #configure terminal ! ! ! ログイン認証方式リストの設定をします。 ! →ログイン時の認証方式の設定をします(*1)。 ! (config)#aaa authentication login USER0001 local (config)#aaa authentication login USER0002 local (config)#aaa authentication login USER0003 local ! ! ! 指定したユーザに対して、実行を許可するかどうかの許可方式を設定します。 ! → 権限の許可方式の設定をします(*2)。 ! (config)#aaa authorization exec USER0001 local (config)#aaa authorization exec USER0002 local (config)#aaa authorization exec USER0003 local ! ! ! ログインID、パスワード、ユーザレベルの設定をします。 ! (config)#username USER0001 privilege 15 password admin0001 (config)#username USER0002 privilege 14 password hoshu0002 (config)#username USER0003 privilege 1 password guest0003 ! ! ! enableのコマンドレベルを設定します。 ! 指定したレベル以下のユーザからの特権モードへの移行を不許可とします。 ! (config)#privilege exec level 14 enable ! ! configure terminalのコマンドレベルを設定します。 ! 指定したレベル以下のユーザからの基本設定モードへの移行を不許可とします。 ! (config)#privilege exec level 15 configure ! ! FTPログインを許可するユーザ名を登録します。 ! "USER0001"のみFTPログインを許可とします。 ! (config)#ftp-server allowusers USER0001 ! ! ! GigaEthernet インタフェースに、port-channel をリンク付けします。 ! (config)#interface GigaEthernet 1/1 *3 (config-if-ge 1/1)# vlan-id 1 (config-if-ge 1/1)# bridge-group 1 (config-if-ge 1/1)# channel-group 1 (config-if-ge 1/1)#exit ! ! ! Port-channel にLAN側IPアドレスを設定します。 ! (config)#interface Port-channel 1 (config-if-ch 1)# ip address 192.168.0.254 255.255.255.0 (config-if-ch 1)#exit ! ! コンソールログインもusernameで登録した内容で許可します。 ! (config)#line console (config-line)# authorization exec default local (config-line)#exit ! ! 特権ユーザモードに戻ります。 ! (config)#end ! ! 設定を保存します。 ! 任意の名前で保存して下さい(*4)。 ! #save [ファイル名] ! ! ! 設定を有効にするために refresh をします。 ! #refresh refresh ok?[y/N]:yes ..................Done *1:ユーザ毎に設定を変える必要が無ければ、下記のようにユーザ名にdefaultを指定することで、1行で設定することもできます。 aaa authentication login default local *2:ユーザ毎に設定を変える必要が無ければ、下記のようにユーザ名にdefaultを指定することで、1行で設定することもできます。 aaa authorization exec default local *3:物理ポート番号の設定 *4:ファイル名を省略した場合、boot.cfgで保存されます。 装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2019