Konfigurasi Privilege Levels

Membatasi Ketersediaan Perintah

Organisasi besar memiliki banyak fungsi pekerjaan yang bervariasi dalam departemen TI. Tidak semua fungsi pekerjaan harus memiliki tingkat akses yang sama ke perangkat infrastruktur. Perangkat lunak Cisco IOS memiliki dua metode untuk menyediakan akses infrastruktur: tingkat hak istimewa dan CLI berbasis peran. Kedua metode membantu menentukan siapa yang boleh terhubung ke perangkat dan apa yang dapat dilakukan orang tersebut dengan perangkat tersebut. Akses CLI berbasis peran menyediakan lebih banyak ketelitian dan kontrol.

Secara default, CLI perangkat lunak Cisco IOS memiliki dua tingkat akses ke perintah:

• Mode EXEC Pengguna (tingkat hak istimewa 1) - Mode ini menyediakan hak istimewa pengguna mode EXEC terendah dan hanya mengizinkan perintah tingkat pengguna yang tersedia di prompt Router>.
• Mode EXEC istimewa (tingkat hak istimewa 15) - Mode ini mencakup semua perintah tingkat aktif di prompt Router#.

Total ada 16 tingkat hak istimewa, seperti yang tercantum di bawah ini. Semakin tinggi tingkat hak istimewa, semakin banyak akses router yang dimiliki pengguna. Perintah yang tersedia pada tingkat hak istimewa yang lebih rendah juga dapat dieksekusi pada tingkat yang lebih tinggi.

• Tingkat 0: Ditetapkan sebelumnya untuk hak istimewa akses tingkat pengguna. Jarang digunakan, tetapi mencakup lima perintah: nonaktifkan, aktifkan, keluar, bantuan, dan keluar.
• Tingkat 1: Tingkat default untuk masuk dengan perintah router Router >. Pengguna tidak dapat membuat perubahan apa pun atau melihat berkas konfigurasi yang sedang berjalan.
• Tingkat 2 -14: Dapat disesuaikan untuk hak istimewa tingkat pengguna. Perintah dari tingkat yang lebih rendah dapat dipindahkan ke tingkat yang lebih tinggi, atau perintah dari tingkat yang lebih tinggi dapat dipindahkan ke tingkat yang lebih rendah.
• Tingkat 15: Dicadangkan untuk hak istimewa mode aktifkan (perintah aktifkan). Pengguna dapat mengubah konfigurasi dan melihat berkas konfigurasi. 

 

 

Mengonfigurasi dan Menetapkan Privilege Levels

Untuk mengonfigurasi level hak istimewa dengan perintah tertentu, gunakan privilege exec level level [perintah]. Contoh menunjukkan contoh untuk tiga level hak istimewa yang berbeda.

• Level hak istimewa 5 memiliki akses ke semua perintah yang tersedia untuk level 1 yang telah ditetapkan sebelumnya dan perintah ping.
• Level hak istimewa 10 memiliki akses ke semua perintah yang tersedia untuk level 5 serta perintah reload.
• Level hak istimewa 15 telah ditetapkan sebelumnya dan tidak perlu dikonfigurasi secara eksplisit. Level hak istimewa ini memiliki akses ke semua perintah termasuk melihat dan mengubah konfigurasi.

 Ada dua metode untuk menetapkan kata sandi ke berbagai Privilege Levels:

• Untuk pengguna yang diberi Privilege Levels tertentu, gunakan perintah nama pengguna Privilege Levels rahasia kata sandi mode konfigurasi global
• Untuk Privilege Levels, gunakan perintah aktifkan tingkat rahasia tingkat kata sandi mode konfigurasi global

Catatan: Baik perintah nama pengguna rahasia maupun aktifkan rahasia dikonfigurasi untuk enkripsi tipe 9.

Gunakan perintah nama pengguna untuk menetapkan tingkat hak istimewa kepada pengguna tertentu. Gunakan perintah enable secret untuk menetapkan tingkat hak istimewa kepada kata sandi mode EXEC tertentu. Misalnya, pengguna SUPPORT diberi tingkat hak istimewa 5 dengan kata sandi cisco5. Namun, seperti yang ditunjukkan dalam contoh di bawah ini, setiap pengguna dapat mengakses tingkat hak istimewa 5 jika pengguna tersebut mengetahui bahwa kata sandi enable secret adalah cisco5. Contoh tersebut juga menunjukkan bahwa tingkat hak istimewa 5 tidak dapat memuat ulang router.

 

Dalam contoh di bawah ini, pengguna mengaktifkan hak istimewa level 10 yang memiliki akses ke perintah reload. Namun, pengguna pada hak istimewa level 10 tidak dapat melihat konfigurasi yang sedang berjalan.

 

Pada contoh berikutnya, pengguna mengaktifkan tingkat hak istimewa 15 yang memiliki akses penuh untuk melihat dan mengubah konfigurasi, termasuk melihat konfigurasi yang sedang berjalan.

 

 

Batasan Privilege Levels

Penggunaan level hak istimewa memiliki keterbatasan:

• Tidak ada kontrol akses ke interface, port, interface logic, dan slot tertentu pada router.
• Perintah yang tersedia pada level hak istimewa yang lebih rendah selalu dapat dieksekusi pada level yang lebih tinggi.
• Perintah yang secara khusus ditetapkan pada level hak istimewa yang lebih tinggi tidak tersedia untuk pengguna dengan hak istimewa yang lebih rendah.
• Menetapkan perintah dengan beberapa kata kunci memungkinkan akses ke semua perintah yang menggunakan kata kunci tersebut. Misalnya, mengizinkan akses ke show ip route memungkinkan pengguna mengakses semua perintah show dan show ip.

Catatan: Jika administrator harus membuat akun pengguna yang memiliki akses ke sebagian besar tetapi tidak semua perintah, pernyataan privilege exec perlu dikonfigurasi untuk setiap perintah yang harus dieksekusi pada level hak istimewa yang lebih rendah dari 15.