...
В конфигурации по умолчанию существует список с именем «default». Список «default» содержит один способ аутентификации – «enable». Чтобы использовать список для аутентификации повышения привилегий пользователей, необходимо выполнить его привязку командой, описанной в разделе Настройка AAA#enable enable authentication.
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
...
В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ аутентификации – «local». Чтобы использовать список для аутентификации входа пользователей, необходимо выполнить его активацию командой, описанной в разделе Настройка AAA#login login authentication.
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
...
Блок кода |
---|
esr(config-line-console)# aaa disable |
aaa ldap-profile
Данная команда используется для добавления профиля LDAP-серверов и перехода в командный режим LDAP SERVER PROFILE.
Использование отрицательной формы команды (no) удаляет заданный профиль LDAP-серверов.
Синтаксис
[no] aaa radius-profile <NAME>
Параметры
<NAME> – имя профиля LDAP-серверов, задается строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# aaa ldap-profile profile1
esr(config-aaa-ldap-profile)# |
aaa radius-profile
Данная команда используется для добавления профиля RADIUS-серверов и перехода в командный режим RADIUS SERVER PROFILE.
Использование отрицательной формы команды (no) удаляет заданный профиль RADIUS-серверов.
Синтаксис
[no] aaa radius-profile <NAME>
Параметры
<NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# aaa radius-profile profile1 esr(config-aaa-radius-profile)# |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
acct-port <PORT>
no acct-port
Параметры
<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
Значение по умолчанию
1813
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
Пример:
Блок кода |
---|
esr(config-radius-server)# acct-port 4444 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
auth-port <PORT>
no auth-port
Параметры
<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
Значение по умолчанию
1812
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
Пример:
Блок кода |
---|
esr(config-radius-server)# auth-port 4444 |
base-dn
clear users blocked
Данной командой удаляется информация о неправильных попытках аутентификации различных пользователей.
Синтаксис
clear users blocked <NAME>
Параметры
<NAME> – имя пользователя, для которого необходимо очистить статистику неправильных попытках аутентификации, задаётся строкой до 31 символа.
Без указания имени пользователя очищается вся таблица неправильных попыток аутентификации.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример:
Блок кода |
---|
esr# clear users blocked |
...
Данной командой закрывается рабочая сессия пользователя CLI.
Синтаксис
clear user-session [ <USERNAME> | <SESSION> ]
Параметры
<NAME> – имя пользователя сессию которого необходимо закрыть, задаётся строкой до 31 символа.
<SESSION> – номер терминальной сессии которую необходимо закрыть, задаётся число в диапазоне [1..10].
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример:
Блок кода |
---|
esr# clear users-session |
...
Использование отрицательной формы команды (no) удаляет список клиентов динамической авторизации (DAC).
Синтаксис
clients object-group <NAME>
no clients
Параметры
<NAME> – имя профиля IP-адресов, содержащий адреса клиентов динамической авторизации, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-DAS-SERVER
Пример:
Блок кода |
---|
esr(config-das-server)# clients object-group pcrf |
...
Использование отрицательной формы команды (no) удаляет заданный сервер динамической авторизации (DAS).
Синтаксис
[no] das-server <NAME>
Параметры
<NAME> – имя сервера динамической авторизации (DAS), задается строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# das-server main esr(config-das-server)# |
...
Использование отрицательной формы команды (no) удаляет заданный сервер динамической авторизации (DAS).
Синтаксис
[no] das-server <NAME>
Параметры
<NAME> – имя сервера динамической авторизации (DAS), задается строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-AAA-DAS-PROFILE
Пример
...
Данной командой задаётся интервал, в течении которого на RADIUS-сервер не будут отправляться пакеты. В данное состояние RADIUS-сервер переводится по истечении таймаута ожидания ответа на запрос последнего допустимого повтора (см. раздел Настройка AAA#radiusradius-server retransmit).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dead-interval <SEC>
no dead-interval
Параметры
<SEC> – период времени в секундах, принимает значения [0..3600].
Значение по умолчанию
120
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-SERVER
Пример:
Блок кода |
---|
esr(config-radius-server)# dead-interval 600 |
...
Использование отрицательной формы команды (no) удаляет описание профиля.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DAS-SERVER-PROFILE
CONFIG-RADIUS-SERVER-PROFILE
Пример:
Установить описание для профиля IP-адресов:
...
Данной командой производится понижение уровня привилегий пользователя до первоначальных.
Синтаксис
disable
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
2
Командный режим
ROOT
Пример:
Блок кода |
---|
esr# disable esr> |
...
Данной командой производится повышение уровня привилегий пользователя. Способы аутентификации повышения привилегий пользователей задаются с помощью команды, описанной в разделе Настройка AAA#aaa aaa authentication attempts max-fail.
...
Предупреждение |
---|
Для аутентификации повышения привилегий по протоколам TACACS/RADIUS/LDAP на сервере должны быть созданы пользователи $enab<PRIV>$, где <PRIV> – необходимый уровень привилегий пользователя, который должен быть аутентифицирован. |
Синтаксис
enable [ <PRIV> ]
Параметры
<PRIV> – необходимый уровень привилегий, принимает значение [2..15].
Значение по умолчанию
15
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример:
Блок кода |
---|
esr> enable 10 esr# |
...
Использование отрицательной формы команды (no) делает список с именем «default» активным.
Синтаксис
enable authentication <NAME>
no enable authentication
Параметры
<NAME> – имя списка, задаётся строкой до 31 символа.
Значение по умолчанию
default
Необходимый уровень привилегий
15
Командный режим
CONFIG-LINE-CONSOLE
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
Пример:
Блок кода |
---|
esr(config-line-console)# enable authentication enable-test |
...
Использование отрицательной формы команды (no) удаляет пароль из системы.
Синтаксис
enable password { <CLEAR-TEXT> | encrypted <HASH_SHA512> } [ privilege <PRIV> ]
no enable password [ privilege <PRIV> ]
Параметры
<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];
...
<PRIV> – необходимый уровень привилегий, принимает значение [2..15], значение по умолчанию 15.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# enable password 12345678 privilege 10 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
exec-timeout <SEC>
no exec-timeout
Параметры
<SEC> – период времени в минутах, принимает значения [1..65535].
Значение по умолчанию
30 минут
Необходимый уровень привилегий
15
Командный режим
CONFIG-LINE-CONSOLE
CONFIG-LINE-SSH
CONFIG-LINE-TELNET
CONFIG-LINE-AUX 1
Пример:
Блок кода |
---|
esr(config-line-ssh)# exec-timeout 600 |
...
При использовании отрицательной формы команды (no) отключает доступ по sftp для конфигурируемого пользователя.
Синтаксис
[no] ip sftp enable
Параметры
Отсутствуют
Значение по умолчанию
Выключено
Необходимый уровень привилегий
10
Командный режим
CONFIG-USER
Пример:
Блок кода |
---|
esr(config-user)# ip sftp enable |
...
Использование отрицательной формы команды (no) удаляет заданный пароль для аутентификации на удаленном сервере.
Синтаксис
key ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }
no key
Параметры
<TEXT> – строка [8..16] ASCII-символов (для TACACS-сервера – [1..16] ASCII-символов);
<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов (для TACACS-сервера – до 120 символов).
Необходимый уровень привилегий
15
Командный режим
CONFIG-TACACS-SERVER
CONFIG-RADIUS-SERVER
CONFIG-DAS-SERVER
Пример:
Блок кода |
---|
esr(config-tacacs-server)# key ascii-text 12345678 |
...
Использование отрицательной формы команды (no) удаляет заданный базовый DN.
Синтаксис
ldap-server base-dn <NAME>
no ldap-server base-dn
Параметры
<NAME> – базовый DN, задается строкой до 255 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server base-dn “dc=example,dc=com” |
...
Использование отрицательной формы команды (no) удаляет заданный DN пользователя.
Синтаксис
ldap-server bind authenticate root-dn <NAME>
no bind authenticate root-dn
Параметры
<NAME> – DN пользователя с правами администратора, задается строкой до 255 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server bind authenticate root-dn “cn=admin,dc=example,dc=com” |
...
Использование отрицательной формы команды (no) удаляет заданный пароль пользователя.
Синтаксис
ldap-server bind authenticate root-password ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }
no bind authenticate root-password
Параметры
<TEXT> – строка [8..16] ASCII-символов;
<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server bind authenticate root-password ascii-text 12345678 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server bind timeout <SEC>
no ldap-server bind timeout
Параметры
<SEC> – период времени в секундах, принимает значения [1..30].
Значение по умолчанию
3 секунды
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server bind timeout 5 |
...
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
ldap-server dscp <DSCP>
no ldap-server dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
63
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server dscp 40 |
...
Использование отрицательной формы команды (no) удаляет заданный LDAP-сервер.
Синтаксис
[no] ldap-server host { <ADDR> | <IPV6-ADDR> | <LDAP-HOST-NAME> } [ vrf <VRF> ]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
...
<LDAP-HOST-NAME> – DNS-имя LDAP-сервера, задаётся строкой до 31 символа. Для корректного сопоставления DNS-имени хоста с ip-адресом на маршрутизаторе должен быть запущен и настроен функционал domain lookup enable.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server host 10.100.100.1 esr(config-ldap-server)# |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server naming-attribute <NAME>
no ldap-server naming-attribute
Параметры
<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.
Значение по умолчанию
uid
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server naming-attribute displayName |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server privilege-level-attribute <NAME>
no ldap-server privilege-level-attribute
Параметры
<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.
Значение по умолчанию
priv-lvl
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server privilege-level-attribute title |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server search filter user-object-class <NAME>
no ldap-server search filter user-object-class
Параметры
<NAME> – имя класса объектов, задаётся строкой до 127 символов.
Значение по умолчанию
posixAccount
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server search filter user-object-class shadowAccount |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server search scope <SCOPE>
no ldap-server search scope
Параметры
<SCOPE> – область поиска пользователей на LDAP-сервере, принимает следующие значения:
...
Значение по умолчанию
subtree
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server search scope onelevel |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server search timeout <SEC>
no ldap-server search timeout
Параметры
<SEC> – период времени в секундах, принимает значения [0..30].
...
0 – устройство ожидает завершения поиска и получения ответа от LDAP-сервера.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server search timeout 10 |
...
Использование отрицательной формы команды (no) удаляет из конфигурации сертификат для установления SSL-соединения с LDAP-сервером.
Синтаксис
ldap-server ssl certificate <FILE-NAME>
no ldap-server ssl certificate
Параметры
Отсутствуют.
Значение по умолчанию
Сертификат не указан.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server ssl certificate ldap-ssl.crt |
...
Использование отрицательной формы команды (no) включает верификацию LDAP-сервера по сертификату.
Синтаксис
[no] ldap-server ssl check-peer disable
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server ssl check-peer disable |
...
Использование отрицательной формы команды (no) отключается использование SSL-соединения для LDAP-подключения (LDAP over SSL).
Синтаксис
[no] ldap-server ssl enable
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# ldap-server ssl enable |
...
Использование отрицательной формы команды (no) устанавливает параметры терминала по умолчанию. Параметры по умолчанию описаны в разделах Настройка AAA#login login authentication и Настройка AAA#enable enable authentication.
Синтаксис
[no] line <TYPE>
Параметры
<TYPE> – тип консоли:
- console – локальная консоль;
- telnet – удаленная консоль;
- ssh – защищенная удаленная консоль;
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# line console esr(config-line-console)# |
...
Использование отрицательной формы команды (no) делает список с именем «default» активным.
Синтаксис
login authentication <NAME>
no login authentication
Параметры
<NAME> – имя списка, задаётся строкой до 31 символа.
Значение по умолчанию
default
Необходимый уровень привилегий
15
Командный режим
CONFIG-LINE-CONSOLE
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
Пример:
Блок кода |
---|
esr(config-line-console)# login authentication login-test |
...
Использование отрицательной формы команды (no) удаляет пароль пользователя из системы.
Синтаксис
password { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password
Параметры
<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-USER
CHANGE-EXPIRED-PASSWORD
Пример:
Блок кода |
---|
esr(config-user) password test |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
port <PORT>
no port
Параметры
<PORT> – номер TCP/UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
...
Не установлено для DAS-сервера.
Необходимый уровень привилегий
15
Командный режим
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
CONFIG-DAS-SERVER
Пример:
Блок кода |
---|
esr(config-tacacs-server)# port 4444 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Scroll Pagebreak |
---|
priority <PRIORITY>
no priority
Параметры
<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG-TACACS-SERVER
CONFIG-RADIUS-SERVER
CONFIG-LDAP-SERVER
Пример:
Блок кода |
---|
esr(config-tacacs-server)# priority 5 |
...
Данной командой производится установка уровня привилегий пользователя. Набор команд, который доступен пользователю, зависит от уровня привилегий. Пользователям с уровнями привилегий от 1 до 9 доступен только просмотр информации. Пользователям с уровнем привилегий от 10 до 15 доступна большая часть команд конфигурирования. Пользователям с уровнем привилегий 15 доступен полный набор команд. Требуемый необходимый уровень привилегий команд может быть изменен, описание в разделе Настройка AAA#description description.
Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.
...
- необходимый уровень привилегий пользователям из локальной базы назначается указанной командой;
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу RADIUS, берется из атрибута cisco-avpair = "shell:priv-lvl=<PRIV>";
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу TACACS, берется из атрибута priv-lvl=<PRIV>;
- уровень привилегии для пользователей авторизовавшихся по протоколу LDAP берется из атрибута заданного командой
privilege-level-attribute, описанной в разделе Настройка AAA#line line, по умолчанию priv-lvl=<PRIV>;
Если при аутентификации пользователя через протоколы TACACS/RADIUS/LDAP не была получена вышеуказанная опция или была получена опция с некорректным значением, то пользователю будут назначены привилегии пользователя «remote», по умолчанию 1. Необходимый уровень привилегий пользователя «remote» можно изменить аналогично любому другому пользователю из локальной базы с помощью указанной команды.
Синтаксис
privilege <PRIV>
no privilege
Параметры
<PRIV> – необходимый уровень привилегий, принимает значение [1..15].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG-USER
Пример:
Блок кода |
---|
esr(config-user)# privilege 15 |
...
Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.
Синтаксис
privilege <COMMAND-MODE> level <PRIV> <COMMAND>
no privilege <COMMAND-MODE> <COMMAND>
Параметры
<COMMAND-MODE> – командный режим, может принимать значения:
...
<COMMAND> – поддерево команд, задается строкой до 255 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Установить для поддерева команд «show» корневого командного режима необходимый уровень привилегий 2. Команды поддерева «show interfaces» оставить с уровнем привилегий 1.
...
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
radius-server dscp <DSCP>
no radius-server dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
63
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# radius-server dscp 40 |
...
Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер.
Синтаксис
[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа;
...
<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# radius-server host 10.100.100.1 esr(config-radius-server)# |
...
Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер из профиля.
Синтаксис
[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа;
...
<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER-PROFILE
Пример:
Блок кода |
---|
esr(config-aaa-radius-profile)# radius-server host 10.100.100.1 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
radius-server retransmit <COUNT>
no radius-server retransmit
Параметры
<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# radius-server retransmit 5 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
radius-server timeout <SEC>
no radius-server timeout
Параметры
<SEC> – период времени в секундах, принимает значения [1..30].
Значение по умолчанию
3 секунды
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# radius-server timeout 5 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
retransmit <COUNT>
no retransmit
Параметры
<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].
...
Не задан, используется значение глобального параметра, описанного в разделе Настройка AAA#radiusradius-server retransmit.
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
Пример:
Блок кода |
---|
esr(config)# retransmit 5 |
...
Использование отрицательной формы команды (no) отключает запрос на смену пароля по умолчанию.
Синтаксис
[no] security passwords default-expired
Параметры
Команда не содержит параметров
...
Запрос на смену пароля по умолчанию отключен.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# security passwords default-expired |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords history <COUNT>
no security passwords history
Параметры
<COUNT> – количество паролей, сохраняемых в памяти маршрутизатора [0..15]. При уменьшении данного значения лишние, более старые пароли удаляются.
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# security passwords history 5 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords lifetime <TIME>
no security passwords lifetime
Параметры
<TIME> – интервал времени действия пароля в днях, принимает значения [1..365].
...
Время действия пароля локального пользователя не ограничено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# security passwords lifetime 30 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords lower-case <COUNT>
no security passwords lower-case
Параметры
<COUNT> – минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
Значение по умолчанию
0
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# security passwords lower-case 2 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords max-length <NUM>
no security passwords max-length
Параметры
<NUM> – максимальное количество символов в пароле, задается в диапазоне [1..32].
Значение по умолчанию
32
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# security passwords max-length 30 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords min-length <NUM>
no security passwords min-length
Параметры
<NUM> – минимальное количество символов в пароле, задается в диапазоне [1..32].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# security passwords min-length 10 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords numeric-count <COUNT>
no security passwords numeric-count
Параметры
<COUNT> – минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
Значение по умолчанию
0
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# security passwords numeric-count 2 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords special-case <COUNT>
no security passwords special-case
Параметры
<COUNT> – минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
Значение по умолчанию
0
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# security passwords special-case 2 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords symbol-types <COUNT>
no security passwords symbol-types
Параметры
<COUNT> – минимальное количество типов символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [1..4].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# security passwords symbol-types 2 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords upper-case <COUNT>
no security passwords upper-case
Параметры
<COUNT> – минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
Значение по умолчанию
0
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# security passwords upper-case 2 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security snmp-community max-length <NUM>
no security snmp-community max-length
Параметры
<NUM> – максимальное количество символов в комьюнити, задается в диапазоне [1..128].
Значение по умолчанию
128
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# security snmp-community max-length 30 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords min-length <NUM>
no security passwords min-length
Параметры
<NUM> – минимальное количество символов в комьюнити, задается в диапазоне [1..128].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# security snmp-community min-length 10 |
...
Данная команда позволяет просмотреть настроенные параметры учета.
Синтаксис
show aaa accounting
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример:
Блок кода |
---|
esr# show aaa accounting Login : radius Commands : tacacs |
...
Данная команда позволяет просмотреть списки способов аутентификации пользователей, а также активные списки каждого типа терминалов.
Синтаксис
show aaa authentication
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример:
Блок кода |
---|
esr# show aaa authentication Login Authentication Method Lists ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ List Methods ---------------- -------------------------------- default local Enable Authentication Method Lists ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ List Methods ---------------- -------------------------------- default enable Lines configuration ~~~~~~~~~~~~~~~~~~~ Line Login method list Enable method list --------- -------------------------------- -------------------------------- console default default telnet default default ssh default default |
...
Данная команда позволяет просмотреть параметры LDAP-серверов.
Синтаксис
show aaa ldap-servers
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример:
Блок кода |
---|
esr# show aaa ldap-servers Base DN: dc=example,dc=com Root DN: cn=admin,dc=example,dc=com Root password: CDE65039E5591FA3 Naming attribute: uid Privilege level attribute: priv-lvl User object class: posixAccount DSCP: 63 Bind timeout: 3 Search timeout: 0 Search scope: subtree IP Address Port Priority -------------------------------- ------------ ------------ 10.100.100.1 389 1 |
...
Данная команда позволяет просмотреть параметры RADIUS-серверов.
Синтаксис
show aaa radius-servers
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример:
Блок кода |
---|
esr# show aaa radius-servers Timeout: 3 Retransmit: 1 DSCP: 63 IP Addres Timeout Priority Usage Key ------------ ---------- ---------- ---------- --------------------------- 2.2.2.2 -- 1 all 9DA7076CA30B5FFE0DC9C4 2.4.4.4 -- 1 all 9DA7076BA30B4EFCE5 |
...
Данная команда позволяет просмотреть параметры TACACS-серверов.
Синтаксис
show aaa tacacs-servers
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример:
Блок кода |
---|
esr# show aaa tacacs-servers Timeout : 3 DSCP: 63 IP Address Port Priority Key ---------------------- ------------ ------------ -------------------------------- 10.100.100.1 49 1 CDE65039E5591FA3 10.100.100.5 49 10 CDE65039E5591FA3 |
...
Данная команда позволяет просмотреть активные сессии пользователей системы.
Синтаксис
show users
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример:
Блок кода |
---|
esr# show users SID User name Logged in at Protocol Host Timers Login/Priv Level ---- -------------------- ----------------- ----------------- -------------------- ----------------- ----- 0 * admin 26/06/23 08:18:01 SSH 192.168.1.44 00:19:57/00:00:00 15 1 admin 26/06/23 08:18:34 Console Console 00:22:16/00:00:00 15 2 test2 26/06/23 08:18:50 Telnet 192.168.1.44 00:22:36/00:00:00 1 3 admin 26/06/23 08:22:35 WEB 192.168.50.55 00:26:18/00:00:00 15 4 user sessions. |
...
Данная команда позволяет просмотреть конфигурацию пользователей системы.
Синтаксис
show users accounts
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример:
Блок кода |
---|
esr# show user accounts Name Password Privilege -------------------------------- -------------------------------- --------- admin $6$1sxrvGaV8Za8oX/K$YNel5xYPZ4cj 15 bemYWYNpQBQKDxWE9v0aoKgQ kRCEb0EMNuusO9Kmg7UBs7nA3buEM87e Eu.rA6tZq0 techsupport $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV 15 9jHcp. 9lweQaSldw7ZtUr uH66uZx9.EBASff//hUj8ObUaC484TNR x. remote $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV 1 9jHcp.kqFAK.vmvyY9lweQaSldw7ZtUr uH66uZx9.EBASff//hUj8ObUaC484TNR x. operator $6$eILpbbyRxedCzvVD$4RHP08mjXvNf 1 urX7V/ULCZ1oHIWMwE6h5f zgwZQUZcPoZCEyaqQQqCicRMRuPwhxrQ bvGChWreW1 |
...
Данная команда позволяет просматривать список пользователей, для которых был введен неправильный пароль. Пользователь удаляется из списка после ввода правильного пароля при аутентификации.
Синтаксис
show users blocked [ <NAME> ]
Параметры
<NAME> – имя пользователя, для которого необходимо отобразить статистику неправильных попыток аутентификации, задаётся строкой до 31 символа.
Без указания имени пользователя отображается вся таблица неправильных попыток аутентификации.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример:
Блок кода |
---|
esr# show users blocked User name Failures Latest failure From -------------------- -------- ----------------- ---------------- tester 4 10/09/17 08:29:42 0.0.0.0 |
...
Использование отрицательной формы команды (no) удаляет указанный IPv4/IPv6-адрес источника.
Синтаксис
source-address { <ADDR> | <IPV6-ADDR> }
no source-address
Параметры
<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес источника, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
Пример:
Блок кода |
---|
esr(config-radius-server)# source-address 220::71 |
...
Использование отрицательной формы команды (no) удаляет указанный интерфейс или туннель.
Синтаксис
source-interface { <IF> | <TUN> }
no source-interface
Параметры
<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
Пример:
Блок кода |
---|
esr(config-radius-server)# source-interface gigabitethernet 1/0/1 |
...
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
[no] system configuration-exclusively
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# system configuration-exclusively |
...
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
tacacs-server dscp <DSCP>
no tacacs-server dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
63
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# tacacs-server dscp 40 |
...
Использование отрицательной формы команды (no) удаляет заданный TACACS-сервер.
Синтаксис
[no] tacacs-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
...
<IPV6-ADDR> – IPv6-адрес TACACS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# tacacs-server host 10.100.100.1 esr(config-tacacs-server)# |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
tacacs-server timeout <SEC>
no tacacs-server timeout
Параметры
<SEC> – период времени в секундах, принимает значения [1..30].
Значение по умолчанию
3 секунды.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# tacacs-server timeout 5 |
...
Использование отрицательной формы команды (no) выключает низкоуровневый удаленный доступ к системе с помощью пользователя «techsupport».
Синтаксис
[no] tech-support login enable
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# tech-support login enable |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
timeout <SEC>
no timeout
Параметры
<SEC> – период времени в секундах, принимает значения [1..30].
...
Не задан, используется значение глобального таймера, описанного в разделе Настройка AAA#radiusradius-server timeout.
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-SERVER
Пример:
Блок кода |
---|
esr(config-radius-server)# timeout 7 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
usage { all | aaa | auth | acct | pptp | l2tp }
no usage
Параметры
all – все типы соединений;
...
l2tp – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета удаленных пользователей, подключающихся по протоколу L2TP over IPsec.
Значение по умолчанию
all
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
Пример:
Блок кода |
---|
esr(config-radius-server)# usage pptp |
...
Использование отрицательной формы команды (no) удаляет пользователя из системы.
Синтаксис
[no] username <NAME>
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все пользователи.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример:
Блок кода |
---|
esr(config)# username test esr(config-user)# |
...