Пользователи и их роли
Для разграничения уровней доступа в EcoRouter используются роли пользователей.
Следующие варианты ролей являются предопределёнными:
Таблица — Разграничения уровней доступа пользователя
| Роль | Описание | Режимы консоли |
|---|---|---|
| admin | Администратор | пользовательский, администрирования, конфигурации |
| noc | Аудитор | пользовательский, администрирования |
| helpdesk | Поддержка | пользовательский |
Для каждой роли доступен свой набор из общего состава команд.
Список команд для каждой роли указан в разделе Справочник команд.
Чтобы вывести на консоль подробные данные по всем ролям существует команда show role. Команда доступна только для роли администратора. По каждой роли будут выведены все доступные команды для каждого режима.
Три предопределённые роли нельзя изменить, но можно создать новую роль с нужным набором доступных команд и режимов.
Для того чтобы создать роль, используется команда конфигурационного режима
role <NAME> [based-on {admin | noc | helpdesk}]. Здесь имя новой роли NAME — обязательный параметр. В результате выполнения команды role <NAME> будет создана роль, не содержащая никаких прав.
Роль также можно создать на основе одной из предопределённых, тогда все команды и режимы, доступные для предопределенной роли, будут автоматически скопированы в новую роль. Например команда role Administrator based-on admin создаст новую роль Administrator с полными правами администратора.
Первый вариант создания роли более удобен, если нужно создать роль с небольшим набором команд. Второй вариант (на основе предопределенных) более удобен, если необходимо создать роль с большим набором команд или набором команд, незначительно отличающимся от одной из предопределённых ролей.
Для настройки созданной роли используется аналогичная команда конфигурационного режима role <NAME>.
В контекстном режиме редактирования созданной роли можно добавить описание роли при помощи команды description <DESCRIPTION> и задать или изменить доступ к командам. Обратите внимание, что запись в DESCRIPTION без кавычек не допускает использование пробелов, а в кавычках — допускает.
Чтобы добавить (сделать доступной) команду в определённом режиме, нужно использовать команду permit {user-exec | enable-exec | config | context-config} <COMMAND>. Чтобы удалить команду из роли потребуется та же команда с приставкой no.
Режимы:
- user-exec — пользовательский режим,
- enable-exec — административный режим,
- config — конфигурационный режим,
- context-config — контекстный режим.
Второй обязательный параметр COMMAND — имя команды. Если название команды состоит из нескольких слов, например, banner motd, допускается указывать только первое слово (banner). Если команда добавлена, она будет работать с префиксами no и do (обратная команда и использования данной команды в конфигурационном режиме). Специально вносить команды с префиксами не нужно!
Обратите внимание, что ввод имени команды, в данном случае, никак не контролируется системой, так что вам следует самому позаботиться о правильном написании команды и о том в какой из режимов вы её добавляете. Напомним, что перечень команд доступных для каждой роли можно вывести командой show role.
Если необходимо добавить или удалить несколько команд, то для каждой строки permit вводится отдельно.
Пример:
ecorouter(config)# role myrole
ecorouter(config-role)# permit user-exec enable
ecorouter(config-role)# permit enable-exec copy
ecorouter(config-role)# no permit enable-exec copy
ВНИМАНИЕ! Некоторые команды не могут быть добавлены в роль (доступны только в предустановленной роли admin). Какие именно указано в разделе Справочник команд.
Для удаления роли в конфигурационном режиме используется команда no role <NAME>.
Внимание! Все изменения и добавления ролей и пользователей вступают в силу только после сохранения конфигурации командой write.