Сравнение версий

Старая версия 1

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  • Рекомендуется использовать ролевую модель доступа на устройство.
  • Рекомендуется использовать персональные учетные записи для аутентификации на устройстве.
  • Рекомендуется включать логирование вводимых пользователем команд.
  • Рекомендуется использовать несколько методов аутентификации для входа на устройства через консоль, удалённого входа на устройства и повышения привилегий. Оптимальной считается комбинация из аутентификации по одному из протоколов RADIUS/TACACS/LDAP и локальной аутентификации.
  • Рекомендуется понизить уровень привилегий встроенной учётной записи admin до 1отключить встроенную учётную запись admin.
  • Рекомендуется настроить логирование изменений локальных учётных записей.
  • Рекомендуется настроить логирование изменений политики AAA.

...

  • Встроенную учётную запись admin удалить нельзя, только отключить авторизацию для неё командой no admin login enable.
  • Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
  • Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
  • Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь отключением авторизации для пользователя admin в конфигурацию устройства необходимо настроить пользователя с уровнем привилегий 15 или задан ENABLE-пароль.
    Scroll Pagebreak

Пример настройки

...

  • Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
  • Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
  • Использовать ENABLE-пароль, заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
  • Установить пользователю admin пониженный уровень привилегийОтключить авторизацию пользователя admin.
  • Настроить логирование изменений локальных учётных записей.
  • Настроить логирование изменений политик ААА.
  • Настроить логирование вводимых команд.

...

Блок кода
esr(config)# enable password $6e5c4r3e2t!

Понижаем привилегии Далее необходимо отключить авторизацию у пользователя admin:

Блок кода
esr(config)# usernameno admin
esr(config-user)# privilege 1 
esr(config-user)# exit login enable

Настраиваем связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:

...