Freitag, 23. Oktober 2009

DE - "ASDM" Befehlseinschränkung

Ich hab eine ganze Weile nichts mehr gepostet und komme auch im Moment nicht wirklich dazu, daher mach ich mich mal ans übersetzen von älteren Artikeln, Es ist ja nicht so das wir hier nicht eigentlich Deutsch und Englisch anbieten wollten.

Die Anfrage um die es geht kam damals via Twitter und es war einfach grundlegend nur die Frage, Kann man Nutzern im ASDM rechte beschneiden, so das sie nur Teile der Konfiguration sehen können.. Kurz um: “Ja es geht”

Anbei hab ich eine Quick und Dirty Konfiguration zusammengeschustert die zeigt wie es geht. Ich hab das ganze auf realer Hardware getestet (ASA 5505 8.0.3 ASDM 6.2.1) mit echten VPN settings. Wie gesagt es geht und die Nutzer können nur die Settings im ASDM betrachten und nicht ändern.


PIX Version 8.0(3)
!
hostname PIX
domain-name playingwithnetworks.com
enable password 123 encrypted
!
interface Ethernet0
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.188.2 255.255.255.0
!
!
!
dns server-group DefaultDNS
domain-name playingwithnetworks.com
pager lines 24
logging enable
logging buffered debugging
logging asdm errors
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-621.bin
!
!
!

dynamic-access-policy-record DfltAccessPolicy

aaa authentication http console LOCAL
aaa authorization command LOCAL
! THIS IS IMPORTANT IF YOU MISS THIS COMMANDS THE THING WILL NOT WORK

http server enable
http 192.168.188.0 255.255.255.0 inside
!
!
!
username VPNSUPPORT password 123 encrypted priv 2
!
!
privilege show level 2 mode exec command running-config
privilege show level 2 mode exec command version
privilege show level 2 mode exec command interface
privilege show level 2 mode exec command logging
privilege show level 2 mode exec command aaa
privilege show level 2 mode exec command crypto
privilege show level 2 mode exec command vpn-sessiondb
privilege show level 2 mode exec command vpnclient
privilege show level 2 mode exec command vpn
privilege show level 2 mode exec command blocks
privilege show level 2 mode exec command webvpn
privilege show level 2 mode exec command compression
!
prompt hostname context


In der vorangegangene Konfiguration wird dem User VPNSUPPORT das Recht eingeräumt, VPN Informationen abzurufen, ohne sie ändern zu können.
Um andere Bereich freizugeben oder zu Sperren kann man einen Trick anwenden.


debug http enabled at level 250


Dann clickt man mit einem User auf die Bereiche die man sehen will und im Debug sieht man die URL die aufgerufen wird. Anhand dieser Information kann die CFG oben angepasst werden.


HTTP: processing GET URL '/admin/exec/show+ipv6+neighbor'


Im Beispiel kann Ipv6 für Level 2 User freigegeben werden.

HTH
Cheers NWG