Сравнение версий

Старая версия 2

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

по сравнению с

Новая версия 3

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  • Изменение пароля пользователя «admin» при первой авторизации.
  • Создание новых пользователей.
  • Назначение имени устройства (Hostname).
  • Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
  • Настройка удаленного доступа к маршрутизатору.
  • Применение базовых настроек.

Изменение пароля пользователя «admin»

...

при первой авторизации

При первом входе Для защищенного входа в систему необходимо сменить пароль по умолчанию привилегированного пользователя «admin».

Примечание

Учетная запись techsupport необходима для удаленного обслуживания сервисным центром;

Учетная запись remote – аутентификация RADIUS, TACACS+, LDAP;

Удалить пользователей admin, techsupport, remote нельзя. Можно только сменить пароль и уровень привилегий.

Предупреждение

Если информация о пользователе «admin» не отображается в конфигурации, значит параметры данного пользователя настроены по умолчанию (пароль «password», уровень привилегий 15).

Имя пользователя и пароль вводится при входе в систему во время сеансов администрирования устройства.

Scroll Pagebreak

Для изменения пароля пользователя «admin» используются следующие команды:

До смены пароля пользовательская настройка устройства недоступна.

После указания нового пароля необходимо применить изменения в конфигурации командой commit и подтвердить изменения командой confirm:

Блок кода
esr(change-expired-password
Блок кода
esr# configure
esr(config)# username admin
esr(config-user)# password <new- password>
esr(configchange-expired-user)# exit

Создание новых пользователей

Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий, – используются команды:

Блок кода
esr(config)# username <name>
esr(config-user)# password <password>
esr(config-user)# privilege <privilege>
esr(config-user)# exit
Примечание

Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.

password)# commit 
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
esr(change-expired-password)# confirm
Configuration has been confirmed. Commit timer canceled.
esr#

Scroll Pagebreak

Создание новых пользователей

Для управления устройством на сервисных маршрутизаторах ESR существует возможность создавать пользовательские учетные записи, у которых администратор может индивидуально задать:

  • пароль;
  • уровень привилегий;
  • режим работы учетной записи.

Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий и режима работы – используются команды:

Блок кода
esr(config)# username <name>
esr(config-user)# password <password>
esr(config-user)# privilege <privilege>
esr(config-user)# mode <mode>
esr(config-user)# exit
Примечание

Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.

Примечание

У учетных записей есть несколько режимов работы:

  • cli – режим работы по умолчанию, пользователь получает доступ к интерфейсу командной строки, предназначенному для управления, просмотра состояния и мониторинга устройства;
  • techsupport – пользователь получает доступ к командной оболочке, в которой выполняется процедура отладки устройства совместно с специалистами технической поддержки;
  • sftp – пользователь используется для организации доступа к встроенному SFTP-серверу, возможность работы в какой-либо командой оболочке при этом у пользователя отсутствует.
Предупреждение

Пользователь «admin» является единственным предустановленным пользователем в конфигурации устройства. Это приводит к определенным особенностям работы с ним:

1) Применение команды no username admin не удаляет пользователя «admin» из конфигурации, а приводит его к настройкам по умолчанию – паролю «password» и 15 уровню привилегий.
2) Отключить возможность авторизации пользователя «admin» можно командой no admin login enable.
3) Пользователь «admin» с настройками по умолчанию (пароль «password», уровень привилегий 15) не отображается в выводах команд show running-config и show candidate-config без модификатора «full».

Scroll Pagebreak

Пример команд для создания нескольких учетных записей – пользователя «netmaster» с уровнем привилегий 15 для управления оборудованием, пользователя «watcher» с уровнем привилегий 1 для ограниченного просмотра оперативной информации, а также пользователя «techsup» для отладки устройства совместно с сотрудниками технической поддержкиПример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:

Блок кода
esr# configure
esr(config)# username fedornetmaster
esr(config-user)# password 12345678P@ssW0rd
esr(config-user)# privilege 15
esr(config-user)# exit
esr(config)# username ivanwatcher
esr(config-user)# password password
esr(config-user)# privilege 11
esr(config-user)# exit
esr(config)# username techsup
esr(config-user)# password PsWdTs
esr(config-user)# mode techsupport
esr(config-user)# exit
esr(config-user)# exit

Назначение имени устройства

...

  • Рекомендуется использовать ролевую модель доступа на устройство.
  • Рекомендуется использовать персональные учетные записи для аутентификации на устройстве.
  • Рекомендуется включать логирование вводимых пользователем команд.
  • Рекомендуется использовать несколько методов аутентификации для входа на устройства через консоль, удалённого входа на устройства и повышения привилегий. Оптимальной считается комбинация из аутентификации по одному из протоколов RADIUS/TACACS/LDAP и локальной аутентификации.
  • Рекомендуется понизить уровень привилегий встроенной учётной записи admin до 1отключить встроенную учётную запись admin.
  • Рекомендуется настроить логирование изменений локальных учётных записей.
  • Рекомендуется настроить логирование изменений политики AAA.

...

  • Встроенную учётную запись admin удалить нельзя, только отключить авторизацию для неё командой no admin login enable.
  • Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
  • Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
  • Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь отключением авторизации для пользователя admin в конфигурацию устройства необходимо настроить пользователя с уровнем привилегий 15 или задан задать ENABLE-пароль для уровня привилегий 15.

Пример настройки

Задача:

Настроить политику AAA:

...

Блок кода
esr(config)# enable password $6e5c4r3e2t!

Далее необходимо понизить привилегии отключить авторизацию у пользователя admin:

Блок кода
esr(config)# usernameno admin
esr(config-user)# privilege 1 
esr(config-user)# exit login enable

Scroll Pagebreak

Настройте связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:

...