Cisco Cihazlarda Ayrıcalık Seviyesi "Privilege Level" Belirlenmesi

Bir çok ağ yöneticisi yönettikleri cihazlarda hangi ayrıcalık seviyesinde işlem yaptığını veya işlem yaptıkları ayrıcalık seviyesinin onlara ne gibi haklar tanıdığını önemsemez ama cisco IOS’larda tanımlı 0’dan 15’e kadar ayrıcalık seviyeleri olduğunu biliyormuydunuz?
Cisco cihazlarda ayrıcalık seviyesi arttıkça cihazı yönetmede sahip olunan haklar da artar. Ancak cisco cihaz kullanan kullanıcılar genelde üç ayrı önceden tanımlanmış ayrıcalık seviyesinde işlem yaparlar. Bunlar:

• 5 komut içeren ve ayrıcalık seviyesi 0 olan mod. Bu mod disable, enable, exit, help ve logout komutlarını içerir ve nadiren kullanılır.
• User EXEC mode—ayrıcalık seviyesi 1
• Privileged EXEC mode—ayrıcalık seviyesi 15’tir.

Varsayılan konfigürasyona ait bir cisco cihaza giriş yapıldığında EXEC moda düşülür. Bu modun ayrıcalık seviyesi (privilege number) 1’dir. Bu seviyede router ile ilgili bazı sınırlı bilgilere ulaşılabilir ancak bu cihaz üzerinde herhangi bir değişiklik yapılamaz. Bu kısıtlamalar nedeniyle ayrıcalığımızı; yani cihazı daha etkin bir şekilde kullanmamızı sağlayacak komutları da etkin kılmak için hemen “enable” komutunu gireriz. “enable” komutunu girdiğimizde EXEC moda düşer ve varsayılan koşullarda hemen 15. ayrıcalık seviyesine geçeriz. Bu ayrıcalık seviyesi bir cisco cihazda geçerli olan mevcut her komutu işletmenizi sağlar.

Bazı küçük şirketlerde her network yöneticisinin ayrıcalık seviyesinin aynı olması sorun oluşturmazken şirket hacmi büyüdüğünde her network yöneticisinin her komutu işletme gereksinimi ortadan kalkar. Mesela şirketinizde stajyer olarak çalışan birinin sadece routerınızın interface durumlarını veya komşuluklarını görmesini istersiniz. Böyle bir çalışanın şirketiniz için hayati öneme sahip bir routerda 15. Seviyede yetkiye sahip olması çok akıl karı değildir. Bu durumda kullanıcıya özel ayrıcalık tanıma işlemi mantıklı bir yöntem olarak devreye girer. Basitçe bir routerda uygulanacak privilege işlemi için yürütülecek komutlar aşağıdaki gibidir.
“show privilege” mevcut kullanıcının ayrıcalık seviyesini görüntülememizi sağlar:

Agciyiz.net# show privilege
Current privilege level is 3

“enable” komutu genellikle doğrudan privilege EXEC moda geçmek için kullanılır. Ancak yanına eklenecek ve ayrıcalık seviyesini belirleyecek numara ile istenilen ayrıcalık seviyesine geçişi sağlar:

Agciyiz.net# show privilege
Current privilege level is 3
Agciyiz.net# enable 1
Agciyiz.net> show privilege
Current privilege level is 1
Agciyiz.net>

“Username” komutu belli bir ayrıcalık seviyesine sahip herhangi bir kullanıcı oluşturmak için kullanılır bu seviyeyi belirlemek için komut içerisinde “privilege” komutu da yürütülür:

Agciyiz.net(config)# username kullaniciadi privilege 2 password sifre

“enable secret” komutu varsayılanda kullanıcının 15. seviyeye geçmesi için kullanılacak şifreyi belirlemede kullanılır. Ancak belli bir seviye numarası komut içerisinde yürütülerek enable secret şifresi girildikten sonra istenen seviyeden giriş yapılmasını da sağlar:

Agciyiz.net(config)# enable secret level 3 sifre

Üzerinde durulması gereken bir başka konu da herhangi bir privilege levele istenen bir komutun atanabileceği. Bu sayede istenen bir komutu kapsamayan ayrıcalık seviyesine komut sistem yöneticisi tarafından elle tanıtılır. Böylece bu ayrıcalık seviyesinde bulunan kullanıcılar artık bu komutu da yürütebilirler. Aşağıdaki örnek daha açıklayıcı olacaktır:

Router(config)# privilege mode level {level command | reset command},

Agciyiz.net(config)#privilege exec level 7 show running-config
Agciyiz.net(config)#privilege configure level 7 snmp-server
Agciyiz.net(config)#privilege interface level 7 ip address

Yukarıdaki örnekte “exec” , “configure” ve “interface” kullanılacak konfigürasyon modunu gösterir ve tanımlanacak komutun bu mod için geçerli bir komut olması gerekir. Eğer ki privilege level konfigürasyonu tacacs sunucusunda yapılandırılmayacaksa bunun için routerda herhangi bir kullanıcı için “username” ve “password” tanımlanmış olması gerekir.

Bir sonraki yazıda görüşmek üzere…

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir