История страницы

...

В конфигурации по умолчанию существует список с именем «default». Список «default» содержит один способ аутентификации – «enable». Чтобы использовать список для аутентификации повышения привилегий пользователей, необходимо выполнить его привязку командой, описанной в разделе Настройка AAA#enable enable authentication.

Использование отрицательной формы команды (no) удаляет список способов аутентификации.

...

В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ аутентификации – «local». Чтобы использовать список для аутентификации входа пользователей, необходимо выполнить его активацию командой, описанной в разделе Настройка AAA#login login authentication.

Использование отрицательной формы команды (no) удаляет список способов аутентификации.

...

Данной командой задаётся интервал, в течении которого на RADIUS-сервер не будут отправляться пакеты. В данное состояние RADIUS-сервер переводится по истечении таймаута ожидания ответа на запрос последнего допустимого повтора (см. раздел Настройка AAA#radiusradius-server retransmit).

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

...

Данной командой производится повышение уровня привилегий пользователя. Способы аутентификации повышения привилегий пользователей задаются с помощью команды, описанной в разделе Настройка AAA#aaa aaa authentication attempts max-fail.

...

ip sftp enable

...

...

При использовании отрицательной формы команды (no) отключает доступ по sftp для конфигурируемого пользователя.

Синтаксис

[no] ip sftp enable

Параметры

Отсутствуют

Значение по умолчанию

...

Необходимый уровень привилегий

10

Командный режим

CONFIG-USER

Пример

esr(config-user)# ip sftp enable

key

Данной командой задаётся пароль для аутентификации на удаленном сервере.

Использование отрицательной формы команды (no) удаляет заданный пароль для аутентификации на удаленном сервере.

Синтаксис

key ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }

no key

Параметры

<TEXT> – строка [8..16] ASCII-символов (для TACACS-сервера – [1..16] ASCII-символов);

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов (для TACACS-сервера – до 120 символов).

Необходимый уровень привилегий

15

Командный режим

CONFIG-TACACS-SERVER

CONFIG-RADIUS-SERVER

CONFIG-DAS-SERVER

Пример

esr(config-tacacs-server)# key ascii-text 12345678

...

Использование отрицательной формы команды (no) удаляет заданный базовый DN.

Синтаксис

ldap-server base-dn <NAME>

no ldap-server base-dn

Параметры

<NAME> – базовый DN, задается строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server base-dn “dc=example,dc=com”

...

Использование отрицательной формы команды (no) удаляет заданный DN пользователя.

Синтаксис

ldap-server bind authenticate root-dn <NAME>

no bind authenticate root-dn

Параметры

<NAME> – DN пользователя с правами администратора, задается строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server bind authenticate root-dn “cn=admin,dc=example,dc=com”

...

Использование отрицательной формы команды (no) удаляет заданный пароль пользователя.

Синтаксис

ldap-server bind authenticate root-password ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }

no bind authenticate root-password

Параметры

<TEXT> – строка [8..16] ASCII-символов;

<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server bind authenticate root-password ascii-text 12345678

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server bind timeout <SEC>

no ldap-server bind timeout

Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

3 секунды

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server bind timeout 5

...

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

ldap-server dscp <DSCP>

no ldap-server dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

63

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# ldap-server dscp 40

...

Использование отрицательной формы команды (no) удаляет заданный LDAP-сервер.

Синтаксис

[no] ldap-server host { <ADDR> | <IPV6-ADDR> | <LDAP-HOST-NAME> } [ vrf <VRF> ] 

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

...

<LDAP-HOST-NAME> – DNS-имя LDAP-сервера, задаётся строкой до 31 символа. Для корректного сопоставления DNS-имени хоста с IP-адресом на маршрутизаторе должна быть запущена и настроена функция domain lookup enable.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server host 10.100.100.1
esr(config-ldap-server)#

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server naming-attribute <NAME>

no ldap-server naming-attribute

Параметры

<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.

Значение по умолчанию

uid

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server naming-attribute displayName

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server privilege-level-attribute <NAME>

no ldap-server privilege-level-attribute

Параметры

<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.

Значение по умолчанию

priv-lvl

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server privilege-level-attribute title

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server search filter user-object-class <NAME>

no ldap-server search filter user-object-class

Параметры

<NAME> – имя класса объектов, задаётся строкой до 127 символов.

Значение по умолчанию

posixAccount

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server search filter user-object-class shadowAccount

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server search scope <SCOPE>

no ldap-server search scope

Параметры

<SCOPE> – область поиска пользователей на LDAP-сервере, принимает следующие значения:

• onelevel – выполнять поиск в объектах на следующем уровне после базового DN в дереве LDAP-сервера;
• subtree – выполнять поиск во всех объектах поддерева базового DN в дереве LDAP-сервера.

Значение по умолчанию

subtree

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server search scope onelevel

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ldap-server search timeout <SEC>

no ldap-server search timeout

Параметры

<SEC> – период времени в секундах, принимает значения [0..30].

Значение по умолчанию

0 – устройство ожидает завершения поиска и получения ответа от LDAP-сервера.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server search timeout 10

...

Использование отрицательной формы команды (no) удаляет из конфигурации сертификат для установления SSL-соединения с LDAP-сервером.

Синтаксис

ldap-server ssl crypto <FILE-NAME> 

no ldap-server ssl crypto

Параметры

Отсутствуют.

Значение по умолчанию

Сертификат не указан.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server ssl crypto ldap-ssl.crt

...

Использование отрицательной формы команды (no) включает верификацию LDAP-сервера по сертификату.

Синтаксис

[no] ldap-server ssl check-peer disable

Параметры

Отсутствуют.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server ssl check-peer disable

...

Использование отрицательной формы команды (no) отключается использование SSL-соединения для LDAP-подключения (LDAP over SSL).

Синтаксис

[no] ldap-server ssl enable 

Параметры

Отсутствуют.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ldap-server ssl enable  

...

Использование отрицательной формы команды (no) устанавливает параметры терминала по умолчанию. Параметры по умолчанию описаны в разделах Настройка AAA#login login authentication и Настройка AAA#enable enable authentication.

Синтаксис

[no] line <TYPE>

Параметры

<TYPE> – тип консоли:

• console – локальная консоль;
• telnet – удаленная консоль;
• ssh – защищенная удаленная консоль.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# line console
esr(config-line-console)#

...

Использование отрицательной формы команды (no) делает список с именем «default» активным.

Синтаксис

login authentication <NAME>

no login authentication

Параметры

<NAME> – имя списка, задаётся строкой до 31 символа.

Значение по умолчанию

default

Необходимый уровень привилегий

15

Командный режим

CONFIG-LINE-CONSOLE

CONFIG-LINE-TELNET

CONFIG-LINE-SSH

Пример

esr(config-line-console)# login authentication login-test

...

Использование отрицательной формы команды (no) удаляет пароль пользователя из системы.

Синтаксис

password { <CLEAR-TEXT> | encrypted <HASH_SHA512> }

no password

Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

CHANGE-EXPIRED-PASSWORD

Пример

esr(config-user) password test

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

port <PORT>

no port

Параметры

<PORT> – номер TCP/UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].

Значение по умолчанию

49 – для TACACS-сервера;

389 – для LDAP-сервера;

Не установлено – для DAS-сервера.

Необходимый уровень привилегий

15

Командный режим

CONFIG-TACACS-SERVER

CONFIG-LDAP-SERVER

CONFIG-DAS-SERVER

Пример

esr(config-tacacs-server)# port 4444

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

priority <PRIORITY> 

no priority 

Параметры

<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG-TACACS-SERVER

CONFIG-RADIUS-SERVER

CONFIG-LDAP-SERVER

Пример

esr(config-tacacs-server)# priority 5

...

Данной командой производится установка уровня привилегий пользователя. Набор команд, который доступен пользователю, зависит от уровня привилегий. Пользователям с уровнями привилегий от 1 до 9 доступен только просмотр информации. Пользователям с уровнем привилегий от 10 до 15 доступна большая часть команд конфигурирования. Пользователям с уровнем привилегий 15 доступен полный набор команд. Требуемый необходимый уровень привилегий команд может быть изменен, описание в разделе Настройка AAA#description description.

Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.

...

• необходимый уровень привилегий пользователям из локальной базы назначается указанной командой;
• необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу RADIUS, извлекается из атрибута cisco-avpair = "shell:priv-lvl=<PRIV>";
• необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу TACACS, извлекается из атрибута priv-lvl=<PRIV>;
• уровень привилегий для пользователей, авторизовавшихся по протоколу LDAP, извлекается из атрибута, заданного командой privilege-level-attribute, описанной в разделе Настройка AAA#lineline, по умолчанию priv-lvl=<PRIV>.

Если при аутентификации пользователя через протоколы TACACS/RADIUS/LDAP не была получена вышеуказанная опция или была получена опция с некорректным значением, то пользователю будут назначены привилегии пользователя «remote», по умолчанию 1. Необходимый уровень привилегий пользователя «remote» можно изменить аналогично любому другому пользователю из локальной базы с помощью указанной команды.

Синтаксис

privilege <PRIV>

no privilege

Параметры

<PRIV> – необходимый уровень привилегий, принимает значение [1..15].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

Пример

esr(config-user)# privilege 15

...

Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.

Синтаксис

privilege <COMMAND-MODE> level <PRIV> <COMMAND>

no privilege <COMMAND-MODE> <COMMAND>

Параметры

<COMMAND-MODE> – командный режим, может принимать значения:

...

<COMMAND> – поддерево команд, задается строкой до 255 символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

Установить для поддерева команд «show» корневого командного режима необходимый уровень привилегий 2. Команды поддерева «show interfaces» оставить с уровнем привилегий 1.

...

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

radius-server dscp <DSCP>

no radius-server dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

63

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# radius-server dscp 40

...

Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер.

Синтаксис

[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

...

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# radius-server host 10.100.100.1
esr(config-radius-server)#

...

Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер из профиля.

Синтаксис

[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

...

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER-PROFILE

Пример

esr(config-aaa-radius-profile)# radius-server host 10.100.100.1

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

radius-server retransmit <COUNT>

no radius-server retransmit

Параметры

<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# radius-server retransmit 5

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

radius-server timeout <SEC>

no radius-server timeout

Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

3 секунды

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# radius-server timeout 5

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

retransmit <COUNT>

no retransmit

Параметры

<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].

Значение по умолчанию

Не задан, используется значение глобального параметра, описанного в разделе Настройка AAA#radiusradius-server retransmit.

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример

esr(config)# retransmit 5

...

Использование отрицательной формы команды (no) отключает запрос на смену пароля по умолчанию.

Синтаксис

[no] security passwords default-expired

Параметры

Команда не содержит параметров.

Значение по умолчанию

Запрос на смену пароля по умолчанию отключен.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords default-expired

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords history <COUNT>

no security passwords history

Параметры

<COUNT> – количество паролей, сохраняемых в памяти маршрутизатора [0..15]. При уменьшении данного значения лишние, более старые пароли удаляются.

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords history 5

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords lifetime <TIME>

no security passwords lifetime

Параметры

<TIME> – интервал времени действия пароля в днях, принимает значения [1..365].

Значение по умолчанию

Время действия пароля локального пользователя не ограничено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords lifetime 30

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords lower-case <COUNT>

no security passwords lower-case

Параметры

<COUNT> – минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords lower-case 2

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords max-length <NUM>

no security passwords max-length

Параметры

<NUM> – максимальное количество символов в пароле, задается в диапазоне [1..32].

Значение по умолчанию

32

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords max-length 30

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords min-length <NUM>

no security passwords min-length

Параметры

<NUM> – минимальное количество символов в пароле, задается в диапазоне [1..32].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords min-length 10

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords numeric-count <COUNT>

no security passwords numeric-count

Параметры

<COUNT> – минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords numeric-count 2

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords special-case <COUNT>

no security passwords special-case

Параметры

<COUNT> – минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords special-case 2

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords symbol-types <COUNT>

no security passwords symbol-types

Параметры

<COUNT> – минимальное количество типов символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [1..4].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords symbol-types 2

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords upper-case <COUNT>

no security passwords upper-case

Параметры

<COUNT> – минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].

Значение по умолчанию

0

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security passwords upper-case 2

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security snmp-community max-length <NUM>

no security snmp-community max-length

Параметры

<NUM> – максимальное количество символов в комьюнити, задается в диапазоне [1..128].

Значение по умолчанию

128

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security snmp-community max-length 30

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

security passwords min-length <NUM>

no security passwords min-length

Параметры

<NUM> – минимальное количество символов в комьюнити, задается в диапазоне [1..128].

Значение по умолчанию

1

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# security snmp-community min-length 10

...

Данная команда позволяет просмотреть настроенные параметры учета.

Синтаксис

show aaa accounting

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show aaa accounting
Login :          radius
Commands :       tacacs

...

Данная команда позволяет просмотреть списки способов аутентификации пользователей, а также активные списки каждого типа терминалов.

Синтаксис

show aaa authentication

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show aaa authentication
   Login Authentication Method Lists
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
List               Methods
----------------   --------------------------------
default            local
   Enable Authentication Method Lists
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
List               Methods
----------------   --------------------------------
default            enable
   Lines configuration
   ~~~~~~~~~~~~~~~~~~~
Line        Login method list                  Enable method list
---------   --------------------------------   --------------------------------
console     default                            default
telnet      default                            default
ssh         default                            default

...

Данная команда позволяет просмотреть параметры LDAP-серверов.

Синтаксис

show aaa ldap-servers

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# show aaa ldap-servers
Base DN:                      dc=example,dc=com
Root DN:                      cn=admin,dc=example,dc=com
Root password:                CDE65039E5591FA3
Naming attribute:             uid
Privilege level attribute:    priv-lvl
User object class:            posixAccount
DSCP:                         63
Bind timeout:                 3
Search timeout:               0
Search scope:                 subtree
IP Address                         Port           Priority
--------------------------------   ------------   ------------
10.100.100.1                       389            1

...

Данная команда позволяет просмотреть параметры RADIUS-серверов.

Синтаксис

show aaa radius-servers

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# show aaa radius-servers
Timeout:     3
Retransmit:  1
DSCP:        63
IP Addres        Timeout      Priority     Usage        Key
------------    ----------   ----------   ----------   ---------------------------
2.2.2.2             --           1            all          9DA7076CA30B5FFE0DC9C4
2.4.4.4             --           1            all          9DA7076BA30B4EFCE5

...

Данная команда позволяет просмотреть параметры TACACS-серверов.

Синтаксис

show aaa tacacs-servers

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# show aaa tacacs-servers
Timeout :       3
DSCP:          63
IP Address               Port           Priority       Key
----------------------   ------------   ------------   --------------------------------
10.100.100.1             49             1              CDE65039E5591FA3
10.100.100.5             49             10             CDE65039E5591FA3

...

Данная команда позволяет просмотреть активные сессии пользователей системы.

Синтаксис

show users

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример

esr# show users 
SID    User name              Logged in at          Protocol            Host                   Timers Login/Priv   Level   
----   --------------------   -----------------     -----------------   --------------------   -----------------   -----   
0 *    admin                  2023-06-26 15:47:38   SSH                 192.168.1.44           00:29:59/00:00:00   15      
1      admin                  2023-06-26 15:47:38   Telnet              192.168.1.44           00:25:08/00:00:00   15      
2      admin                  2023-06-26 15:47:38   Console             Console                00:29:56/00:00:00   15 

...

Данная команда позволяет просмотреть конфигурацию пользователей системы.

Синтаксис

show users accounts

Параметры

Команда не содержит параметров.

Необходимый уровень привилегий

10

Командный режим

ROOT

Пример

esr# show user accounts
Name                               Password                           Privilege
--------------------------------   --------------------------------   ---------
admin                              $6$1sxrvGaV8Za8oX/K$YNel5xYPZ4cj   15
                                   bemYWYNpQBQKDxWE9v0aoKgQ
                                   kRCEb0EMNuusO9Kmg7UBs7nA3buEM87e
                                   Eu.rA6tZq0
techsupport                        $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV   15
                                   9jHcp. 9lweQaSldw7ZtUr
                                   uH66uZx9.EBASff//hUj8ObUaC484TNR
                                   x.
remote                             $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV   1
                                   9jHcp.kqFAK.vmvyY9lweQaSldw7ZtUr
                                   uH66uZx9.EBASff//hUj8ObUaC484TNR
                                   x.
operator                           $6$eILpbbyRxedCzvVD$4RHP08mjXvNf   1
                                   urX7V/ULCZ1oHIWMwE6h5f
                                   zgwZQUZcPoZCEyaqQQqCicRMRuPwhxrQ
                                   bvGChWreW1

...

Данная команда позволяет просматривать список пользователей, для которых был введен неправильный пароль. Пользователь удаляется из списка после ввода правильного пароля при аутентификации.

Синтаксис

show users blocked [ <NAME> ]

Параметры

<NAME> – имя пользователя, для которого необходимо отобразить статистику неправильных попыток аутентификации, задаётся строкой до 31 символа.

Без указания имени пользователя отображается вся таблица неправильных попыток аутентификации.

Необходимый уровень привилегий

1

Командный режим

ROOT

Пример

esr# show users blocked
User name              Failures   Latest failure        From
--------------------   --------   -------------------   ----------------
tester                 4          2017-09-10 08:29:42   0.0.0.0

...

Использование отрицательной формы команды (no) удаляет указанный IPv4/IPv6-адрес источника.

Синтаксис

source-address { <ADDR> | <IPV6-ADDR> | object-group <NETWORK_OBJ_GROUP_NAME> }

no source-address

Параметры

<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

...

<NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

CONFIG-TACACS-SERVER

CONFIG-LDAP-SERVER

Пример

esr(config-radius-server)# source-address 220::71

...

Использование отрицательной формы команды (no) удаляет указанный интерфейс или туннель.

Синтаксис

source-interface { <IF> | <TUN> }

no source-interface

Параметры

<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора; 

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

CONFIG-TACACS-SERVER

CONFIG-LDAP-SERVER

Пример

esr(config-radius-server)# source-interface gigabitethernet 1/0/1

...

Использование отрицательной формы команды (no) устанавливается значение по умолчанию.

Синтаксис

[no] system configuration-exclusively

Параметры

Команда не содержит параметров.

Значение по умолчанию

Отключено.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# system configuration-exclusively

...

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

tacacs-server dscp <DSCP>

no tacacs-server dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

63

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# tacacs-server dscp 40

...

Использование отрицательной формы команды (no) удаляет заданный TACACS-сервер.

Синтаксис

[no] tacacs-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

...

<IPV6-ADDR> – IPv6-адрес TACACS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# tacacs-server host 10.100.100.1
esr(config-tacacs-server)#

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

tacacs-server timeout <SEC>

no tacacs-server timeout

Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

3 секунды.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# tacacs-server timeout 5

tech-support login enable

Данной командой включается низкоуровневый удаленный доступ к системе с помощью пользователя «techsupport». Низкоуровневый доступ к системе позволит технической поддержке получить всю необходимую информацию, когда это необходимо.

Использование отрицательной формы команды (no) выключает низкоуровневый удаленный доступ к системе с помощью пользователя «techsupport».

Синтаксис

[no] tech-support login enable

...

Команда не содержит параметров.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# tech-support login enable

timeout

Данной командой задаётся интервал, по истечении которого устройство считает, что RADIUS-сервер недоступен.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

timeout <SEC>

no timeout

Параметры

<SEC> – период времени в секундах, принимает значения [1..30].

Значение по умолчанию

Не задан, используется значение глобального таймера, описанного в разделе Настройка AAA#radiusradius-server timeout.

Необходимый уровень привилегий

10

Командный режим

CONFIG-RADIUS-SERVER

Пример

esr(config-radius-server)# timeout 7

...

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

usage { all | aaa | auth | acct | pptp | l2tp }

no usage

Параметры

all – все типы соединений;

...

l2tp – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета удаленных пользователей, подключающихся по протоколу L2TP over IPsec.

Значение по умолчанию

all

Необходимый уровень привилегий

15

Командный режим

CONFIG-RADIUS-SERVER

Пример

esr(config-radius-server)# usage pptp

...

Использование отрицательной формы команды (no) удаляет пользователя из системы.

Синтаксис

[no] username <NAME>

Параметры

<NAME> – имя пользователя, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все пользователи.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# username test
esr(config-user)#

...