سوف أحدثكم اليوم عن موضوع هام قد لايستخدم كثيرا في الشركات الصغيرة لكن مع الشركات الكبيرة نجد أستخدام واسع لهذا الموضوع وهو كيفية تحديد صلاحيات كل مستخدم على الروتر أو السويتش وبكلام آخر ما هي الامكانيات والأوامر التى يمكن لهذا المستخدم أن ينفذها
وقد يخطر على بالك تساؤل صغير وهو لماذا في الشركات الكبيرة فقط ؟ أنا طبعا لم أعني أن هذا الموضوع لايمكن أستخدامه في الشركات الصغيرة لان الفكرة ببساطة لو كان لدينا شركة صغيرة فالمشرفين على هذه الأجهزة لن يكونوا كثيرين فقد يكونوا واحد أو أثنين فقط لذا فالمخاطر أقل لكن لو نظرنا إلى الشركات الكبيرة مثل شركات الأنترنت لو وجدنا أن هناك الكثير من المهندسين المشرفين ومنهم من لديه خبرة كبيرة ومنهم من هو مبتدئ في هذا المجال لذا يجدر تحديد صلاحيات هذه النسبة من المهندسين لأن أي خطأ ولو كان بسيط قد يردي إلى مشاكل نحن في غنى عنها لذا أحرص على هذا الموضوع كثيرا.
وقبل أن أبدا لنتفق على بعض الامور الهامة والبسيطة
By default على الروتر هناك 15 مستوى للصلاحيات
الصلاحية رقم 0 هي للـ exec mode وفيها يتاح خمس أوامر فقط disable, enable, exit, help, andlogout والصلاحية رقم 1 وهي وضعية الـDefault للـ User EXEC mode والصلاحية 15 هي للـ Privilege mode
يجب ان يكون هناك كلمة سر على الروتر تحمل الصلاحية 15 والتى عادة تكون من خلال enable secret
الصلاحيات من 1 إلى 14 هي الصلاحيات التخصيصية customize level والتى سوف نعمل عليها
عند عمل صلاحية جديدة يجب ان يكون لها كلمة سر
لنبدأ الآن أستعراض كيفية عمل صلاحيات محددة سوف ندخل على الروتر ونتوجه إلى الـ Configuration Mode ونقوم بكتابة الأمر التالي :
Router(config)#privilege (exec,configure)level (0-15) command
في هذا الأمر نقوم بتحديد أولا ماهو الأمر الذي أريد أن أسمح به فلو كان الأمر سوف يكتب في وضعية الـ Exec عندها سوف أضع هذه الكلمة وبعدها احدد رقم المستوى وآخيرا أكتب الأمر الذي أريد أن أسمح لهذا الشخص بتنفيذه في هذه الوضعية وهذا مثال توضيحي
Router(config)#privilege exec level 3 show running-config
يتضح لكم من هذا المثال أني حددت رقم المستوى بثلاثة وفيها أسمح للأشخاص الذين يدخلون على هذا المستوى بتنفيذ أمر show running-config وقبل أن تذهب لتجربة الامر لن تنسى أن نضع كلمة سر لهذا المستوى كما أوضحت في البداية وصيغة الامر سوف تكون على الشكل التالي
Router(config)#enable secret level 3 networkset
وقد خصصت كلمة networkset لكي تكون كلمة السر لهذا المستوى من الصلاحيات وبقى علينا شيء واحد أن نحفظ الأعدادت ونخرج من الروتر ونعاود الدخول لكن هذه المرة سوف لن نكتب الأمر enable وحيدا بل يجب أن نتبعه برقم المستوى أي نكتبه بهذا الشكل
وبالتالي سوف تنطبق عليك الصلاحيات الموضحة بهذا المستوى وهو صلاحيات المستوى 0 بالأضافة إلى صلاحيات الرقم 3 وهي أمكانية عرض الأعدادات الموجودة على الروتر ولو حاولنا أن نكتب الأمر show interface على الموجه الاوامر سوف يظهر لنا خطأ بأن هذا الأمر غير موجود ولو حاولت الدخول إلى الـ configure mode سوف يقابل بالرفض أيضا لذا لنعد ونقوم بأتاحة هذان الأمران
Router(config)#privilege exec level 3 configure terminal
Router(config)#privilege exec level 3 show interfaces
نحفظ الأعدادت وندخل مرة ثانية على المستوى الثالث لنجد أن هذه الأوامر أصبحت متاحة ولو في حال قمنا بكتابة أي أمر في الـ configure mode سوف يقابل أيضا بالرفض مثل ان نكتب interface fastethernet 0/0 والسبب طبعا لان المستوى لم يتم التصريح له بأستخدام وكتابة أي أمر هناك لذا لنقم بعمل تصريح يسمح للمستخدمي هذا المستوى من الدخول على المنافذ وأعطائهم أيبي
Router(config)#privilege configure level 3 interface
Router(config)#privilege interface level 3 ip address
لاحظ معي ان الأمر الأول سمحت فيه بكتابة الأمر interface في الـ configure mode بينما سمحت بالأمر ip address في الـ Interface mode وبالتالي صاحب هذه الصلاحيات سوف يتمكن من تغيير الأيبي لكن لن يتمكن من تفعيل المنفذ لانه ببساطة لايملك صلاحية الأمر no shutdown
بهذه الطريقة نستطيع تحديد كل الأوامر والصلاحيات التى نريد السماح بها لكل مستخدم وبدون أي مشاكل تذكر أتمنى أن تكون التدوينة مفيدة ونالت أعجابكم أترككم حتى غدا إن شاء الله مع تدوينة ومعلومة جديدة ودمتم بود
سوف أحدثكم اليوم عن موضوع هام قد لايستخدم كثيرا في الشركات الصغيرة لكن مع الشركات الكبيرة نجد أستخدام واسع لهذا الموضوع وهو كيفية تحديد صلاحيات كل مستخدم على الروتر أو السويتش وبكلام آخر ما هي الامكانيات والأوامر التى يمكن لهذا المستخدم أن ينفذها وقد يخطر على بالك تساؤل صغير وهو لماذا في الشركات الكبيرة فقط ؟ أنا طبعا لم أعني أن هذا الموضوع لايمكن أستخدامه في الشركات الصغيرة لان الفكرة ببساطة لو كان لدينا شركة صغيرة فالمشرفين على هذه الأجهزة لن يكونوا كثيرين فقد يكونوا واحد أو أثنين فقط لذا فالمخاطر أقل لكن لو نظرنا إلى الشركات الكبيرة مثل شركات…
بصراحه موضوع مهم بالنسبة لي..لانها وضحت لي اشياء كنت اعملها بدون معرفة ماهيتها بهذا الشكل التفصيلي والشرح..
تحياتي يابش مهندس
شكرًا اخي ايمن
معلومة مهمه فعلا
ولكن خطر في بالي سؤال
كيف يمكن ان احدد الصلاحية المطلوبة
مثلا
لانه من
0-14 تعتبر costumize level
فكيف نقدر نعرف ايش صلاحية الرقم 5 , 8 , 13 مثلا ؟؟
ملاحظة مهمة أخي عبد الله
شوف الصلاحيات من 0 إلى 14 هي مستويات غير مدعومة من أي شيء ماعدا الصفر وقد وضحت ماهي الأوامر التى تدعمها والمستوى واحد هو المستوى الـ default لأي مستخدم
لذا أي مستوى أعلى من مستوى الواحد يأخذ نفس صلاحيات المستوى الذي تحته وهذا يعني أن المستويات من 2 إلى 14 سوف تحصل على صلاحيات المستوى رقم واحد لذا لو قمت بأعطاء المستوى رقم أثنان صلاحية كتابة الأمر show interface سوف يكون له صلاحيات المستوى رقم واحد زائد صلاحية كتابة الأمر show interface ولو رحت عملت للمستوى رقم 3 صلاحيات الدخول إلى configure mode عندها سوف يحصل على صلاحيات المستوى رقم واحد وعلى صلاحيات المستوى رقم أثنان وهي أتاحة أستخدام الأمر show interface بالأضافة إلى الصلاحيات المعطاة له من قبل المدير وهي الدخول إلى الـ configure terminal وهكذا حتى نصل إلى المستوى 14ولاحظ أيضا أن المستوى صفر وواحد يمكن التعديل عليهم أيضا وأضافة أوامر جديدة له
أتمنى أن تكون الصورة قد وضحت
ألف شكر لك اخي ايمن على هذه المعلومه القيمه.
كنت اسمع عن هذي المعلومه لاكن ليس لدي ادنى معرفه في كيفية انشائها.
بارك الله لك وعلى قولة اخواننا المصريين ( روح ياشيخ ربنا يعطيك على اد نيتك)
جزاك الله خير يا اخ ايمن (على ما اعرف ابو صالح )
لكن عندي استفسار بسيط
الا استطيع عملها عن طريق RADIUS Server ؟؟ بدل ان اعملها على كل راوتر ؟؟
موضوع متميز كالعادة
أستاااااااااااااااااذ
كالمعتاد موضوع رائع ومفيد
بارك الله فيك
بارك الله فيكم وشكرا على المرور
ACCESS POINT==> هو بعينه أبو صالح وماشاء الله عليك متذكر الشخص اللى قاله
بالنسبة لسؤال نعم تستطيع وقد شرحت الطريقة كاملة من اول ماتنزل السيرفر إلى أعطاء الصلاحيات على الروابط التالية
http://www.networkset.net/2010/05/09/ia/
http://www.networkset.net/2010/05/24/cisco-aaa/
جميييل جدا الشرح والاسلوب الرائع
ومعلومة جديدة بالنسبة لي
شكرا جزيلا وربنا يجعله في ميزان حياتك والى الامام دائما
واياك اخوي ابو صالح .. للمعلومية انا كذلك ابو صالح
اقصد اخي ايمن اعطاء التصاريح عن طريق RADIUS Server بدل ان نعملها على كل راوتر
نعم أخي أبو صالح يمكن التحكم بمستوى التصريح المخول من خلال الـ Radius لكن يجب عمل مجموعة لكل مستوى على الويندوز
ولاتنسى أن أعداد التصاريح والأوامر التى يمكن لهذا المستخدم القيام بها يجب أن تعد على الروتر بكلا الحالتين
الله يجزاك الخير ،
طيب لو حبيت اضيف لـ Level معين كل الاوامر ماعاد انو يدخل على الـ Conft Mode
كيف راح يصير ؟؟
بمعنى أخر كيف اضيف كل الصلاحيات ماعاد انو يدخل على conft mode
بسيطة أعد قراءة الموضوع مرة ثانية ورح تجد الجواب ➡
السلام عليكم يالغالي ممكن تذكر لنا مالفرق بين جميع المستويات والاوامر الغير مفعلة في كل مستوى ؟
مثال زي ماكتبت فوق :
الصلاحية رقم 0 هي للـ exec mode وفيها يتاح خمس أوامر فقط disable, enable, exit, help, andlogout
لوتنزل الـ15 ليفل وكل صلاحية له اذا ممكن .
والف شكر لك يالغالي وجزاك الله الف خير.