История страницы

...

Authentication (аутентификация) – сопоставление персоны (запроса) существующей учётной записи в системе безопасности. Осуществляется по логину, паролю.
Authorization (авторизация, проверка полномочий, проверка уровня доступа) – сопоставление учётной записи в системе и определённых полномочий.
Accounting (учёт) – слежение за подключением пользователя или внесенным им изменениям.

Якорь
Алгоритм настройки локальной аутентификации и авторизации
Алгоритм настройки локальной аутентификации и авторизации
Алгоритм настройки локальной аутентификации

...

Шаг
Описание
Команда
Ключи
1
Задать список методов аутентификации по умолчанию(default) / с именем <NAME> и указать local.
esr(config)# aaa authentication login { default | <NAME> } <METHOD 1>
[ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]
<NAME> – имя списка, задаётся строкой до 31 символа.
Способы аутентификации:
local – аутентификация с помощью локальной базы пользователей;
tacacs – аутентификация по списку TACACS-серверов;
radius – аутентификация по списку RADIUS-серверов;
ldap – аутентификация по списку LDAP-серверов.
2
Задать список методов аутентификации повышения привилегий пользователей по умолчанию(default) / с именем <NAME> и указать enable.
esr(config)# aaa authentication enable <NAME><METHOD 1> [ <METHOD 2> ]
[ <METHOD 3> ] [ <METHOD 4> ]
<NAME> – имя списка, задаётся строкой до 31 символа.
Способы аутентификации:
local – аутентификация с помощью локальной базы пользователей;
tacacs – аутентификация по списку TACACS-серверов;
radius – аутентификация по списку RADIUS-серверов;
ldap – аутентификация по списку LDAP-серверов.
3
Указать способ перебора методов аутентификации в случае отказа (необязательно).
esr(config)# aaa authentication mode <MODE>
<MODE> – способы перебора методов:
chain – если сервер вернул FAIL, перейти к следующему в цепочке методу аутентификации;
break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами.
Значение по умолчанию: chain.
4
Указать количество неудачных попыток аутентификации для блокировки логина пользователя и время блокировки (необязательно).
esr(config)# aaa authentication attempts max-fail <COUNT> <TIME>
<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];
<TIME> – интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535].
Значение по умолчанию:
<COUNT> – 5; <TIME> – 300.
5
Включить запрос на смену пароля по умолчанию для пользователя admin (необязательно).
esr(config)# security passwords default-expired

6
Включить режим запрета на использование ранее установленных паролей локальных пользователей (необязательно).
esr(config)# security passwords history <COUNT>
<COUNT> – количество паролей, сохраняемых в памяти маршрутизатора. Принимает значение в диапазоне [1..15].
Значение по умолчанию: 0.
7
Установить время действия пароля локального пользователя (необязательно).
esr(config)# security passwords lifetime <TIME>
<TIME> – интервал времени действия пароля в днях. Принимает значение в диапазоне [1..365].
По умолчанию: время действия пароля локального пользователя не ограничено.
8
Установить ограничение на минимальную длину пароля локального пользователя и ENABLE-пароля (необязательно).
esr(config)# security passwords min-length <NUM>
<NUM> – минимальное количество символов в пароле. Принимает значение в диапазоне [8..128].
Значение по умолчанию: 0.
9
Установить ограничение на максимальную длину пароля локального пользователя и ENABLE-пароля (необязательно).
esr(config)# security passwords max-length <NUM>
<NUM> – максимальное количество символов в пароле. Принимает значение в диапазоне [8..128].
Значение по умолчанию: не ограничено.
10
Установить минимальное количество типов символов, которые должны присутствовать в пароле локального пользователя и ENABLE-пароле (необязательно).
esr(config)# security passwords symbol-types <COUNT>
<COUNT> – минимальное количество типов символов в пароле. Принимает значение в диапазоне [1..4].
Значение по умолчанию: 1.
11
Установить минимальное количество строчных букв в пароле локального пользователя и ENABLE-пароле (необязательно).
esr(config)# security passwords lower-case <COUNT>
<COUNT> – минимальное количество строчных букв в пароле локального пользователя и ENABLE-пароле. Принимает значение в диапазоне [0..128].
Значение по умолчанию: 0.
12
Установить минимальное количество прописных (заглавных) букв в пароле локального пользователя и ENABLE-пароле (необязательно).
esr(config)# security passwords upper-case <COUNT>
<COUNT> – минимальное количество прописных (заглавных) букв в пароле. Принимает значение в диапазоне [0..128].
Значение по умолчанию: 0.
13
Установить минимальное количество цифр в пароле локального пользователя и ENABLE-пароле (необязательно).
esr(config)# security passwords numeric-count <COUNT>
<COUNT> – минимальное количество цифр в пароле. Принимает значение в диапазоне [0..128].
Значение по умолчанию: 0.
14
Установить минимальное количество специальных символов в пароле локального пользователя и ENABLE-пароле (необязательно).
esr(config)# security passwords special-case <COUNT>
<COUNT> – минимальное количество специальных символов в пароле. Принимает значение в диапазоне [0..128].
Значение по умолчанию: 0.
15
Добавить пользователя в локальную базу и перейти в режим настройки параметров пользователя.
esr(config)# username <NAME>
<NAME> – имя пользователя, задаётся строкой до 31 символа.
16
Установить пароль пользователя.
esr(config-user)# password { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
<CLEAR-TEXT> – пароль, задаётся строкой [8 .. 32] символов, принимает значения [0-9a-fA-F];
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.
17
Установить уровень привилегий пользователя.
esr(config-user)# privilege <PRIV>
<PRIV> – необходимый уровень привилегий. Принимает значение [1..15].
18
Установить режим работы учетной записи пользователя (необязательно).
esr(config-user)# mode <MODE>
<MODE> – режим работы учетной записи пользователя. Может принимать значения:
cli – режим работы по умолчанию, пользователь получает доступ к интерфейсу командной строки, предназначенному для управления, просмотра состояния и мониторинга устройства;
techsupport – пользователь получает доступ к командной оболочке, в которой выполняется процедура отладки устройства совместно с специалистами технической поддержки;
sftp – пользователь используется для организации доступа к встроенному SFTP-серверу, возможность работы в какой-либо командой оболочке при этом у пользователя отсутствует.
19
Указать метод аутентификации SSH-сессий для пользователя (необязательно).
esr(config-user)# ssh authentication method <METHOD>
<METHOD> – метод аутентификации SSH-сессий. Может принимать значения:
password – аутентификация пользователя при открытии SSH-сессий может быть произведена только по паролю;
pubkey – аутентификация пользователя при открытии SSH-сессий может быть произведена только по публичному ключу;
both – аутентификация пользователя при открытии SSH-сессий может быть произведена как по паролю, так и по публичному ключу.
20
Указать имя файла публичного ключа, который будет использован при аутентификации SSH-сессии пользователя (необязательно).
esr(config-user)# ssh pubkey <NAME>
<NAME> – имя файла публичного ключа, расположенного в разделе crypto:public-key, задаётся строкой до 31 символа.
21
Отключить авторизацию для предустановленного пользователя admin (необязательно).
esr(config)# no admin login enable

22
Перейти в режим конфигурирования соответствующего терминала.
esr(config)# line <TYPE>
<TYPE> – тип консоли:
console – локальная консоль;
telnet – удаленная консоль;
ssh – защищенная удаленная консоль.
23
Активировать список аутентификации входа пользователей в систему.
esr(config-line-console)# login authentication <NAME>
<NAME> – имя списка, задаётся строкой до 31 символа. Создан на шаге 1.
24
Активировать список аутентификации повышения привилегий пользователей.
esr(config-line-console)# enable authentication <NAME>
<NAME> – имя списка, задаётся строкой до 31 символа. Создан на шаге 2.
25
Задать интервал, по истечении которого будет разрываться бездействующая сессия.
esr(config-line-console)# exec-timeout <SEC>
<SEC> – период времени в минутах, принимает значения [1..65535].
...

Дерево страниц

Сравнение версий

Старая версия 10

Новая версия 11

Ключ

Шаг	Описание	Команда	Ключи
1	Задать список методов аутентификации по умолчанию(default) / с именем <NAME> и указать local.	esr(config)# aaa authentication login { default \| <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]	<NAME> – имя списка, задаётся строкой до 31 символа. Способы аутентификации: local – аутентификация с помощью локальной базы пользователей; tacacs – аутентификация по списку TACACS-серверов; radius – аутентификация по списку RADIUS-серверов; ldap – аутентификация по списку LDAP-серверов.
2	Задать список методов аутентификации повышения привилегий пользователей по умолчанию(default) / с именем <NAME> и указать enable.	esr(config)# aaa authentication enable <NAME><METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]	<NAME> – имя списка, задаётся строкой до 31 символа. Способы аутентификации: local – аутентификация с помощью локальной базы пользователей; tacacs – аутентификация по списку TACACS-серверов; radius – аутентификация по списку RADIUS-серверов; ldap – аутентификация по списку LDAP-серверов.
3	Указать способ перебора методов аутентификации в случае отказа (необязательно).	esr(config)# aaa authentication mode <MODE>	<MODE> – способы перебора методов: chain – если сервер вернул FAIL, перейти к следующему в цепочке методу аутентификации; break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами. Значение по умолчанию: chain.
4	Указать количество неудачных попыток аутентификации для блокировки логина пользователя и время блокировки (необязательно).	esr(config)# aaa authentication attempts max-fail <COUNT> <TIME>	<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535]; <TIME> – интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535]. Значение по умолчанию: <COUNT> – 5; <TIME> – 300.
5	Включить запрос на смену пароля по умолчанию для пользователя admin (необязательно).	esr(config)# security passwords default-expired
6	Включить режим запрета на использование ранее установленных паролей локальных пользователей (необязательно).	esr(config)# security passwords history <COUNT>	<COUNT> – количество паролей, сохраняемых в памяти маршрутизатора. Принимает значение в диапазоне [1..15]. Значение по умолчанию: 0.
7	Установить время действия пароля локального пользователя (необязательно).	esr(config)# security passwords lifetime <TIME>	<TIME> – интервал времени действия пароля в днях. Принимает значение в диапазоне [1..365]. По умолчанию: время действия пароля локального пользователя не ограничено.
8	Установить ограничение на минимальную длину пароля локального пользователя и ENABLE-пароля (необязательно).	esr(config)# security passwords min-length <NUM>	<NUM> – минимальное количество символов в пароле. Принимает значение в диапазоне [8..128]. Значение по умолчанию: 0.
9	Установить ограничение на максимальную длину пароля локального пользователя и ENABLE-пароля (необязательно).	esr(config)# security passwords max-length <NUM>	<NUM> – максимальное количество символов в пароле. Принимает значение в диапазоне [8..128]. Значение по умолчанию: не ограничено.
10	Установить минимальное количество типов символов, которые должны присутствовать в пароле локального пользователя и ENABLE-пароле (необязательно).	esr(config)# security passwords symbol-types <COUNT>	<COUNT> – минимальное количество типов символов в пароле. Принимает значение в диапазоне [1..4]. Значение по умолчанию: 1.
11	Установить минимальное количество строчных букв в пароле локального пользователя и ENABLE-пароле (необязательно).	esr(config)# security passwords lower-case <COUNT>	<COUNT> – минимальное количество строчных букв в пароле локального пользователя и ENABLE-пароле. Принимает значение в диапазоне [0..128]. Значение по умолчанию: 0.
12	Установить минимальное количество прописных (заглавных) букв в пароле локального пользователя и ENABLE-пароле (необязательно).	esr(config)# security passwords upper-case <COUNT>	<COUNT> – минимальное количество прописных (заглавных) букв в пароле. Принимает значение в диапазоне [0..128]. Значение по умолчанию: 0.
13	Установить минимальное количество цифр в пароле локального пользователя и ENABLE-пароле (необязательно).	esr(config)# security passwords numeric-count <COUNT>	<COUNT> – минимальное количество цифр в пароле. Принимает значение в диапазоне [0..128]. Значение по умолчанию: 0.
14	Установить минимальное количество специальных символов в пароле локального пользователя и ENABLE-пароле (необязательно).	esr(config)# security passwords special-case <COUNT>	<COUNT> – минимальное количество специальных символов в пароле. Принимает значение в диапазоне [0..128]. Значение по умолчанию: 0.
15	Добавить пользователя в локальную базу и перейти в режим настройки параметров пользователя.	esr(config)# username <NAME>	<NAME> – имя пользователя, задаётся строкой до 31 символа.
16	Установить пароль пользователя.	esr(config-user)# password { <CLEAR-TEXT> \| encrypted <HASH_SHA512> }	<CLEAR-TEXT> – пароль, задаётся строкой [8 .. 32] символов, принимает значения [0-9a-fA-F]; <HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.
17	Установить уровень привилегий пользователя.	esr(config-user)# privilege <PRIV>	<PRIV> – необходимый уровень привилегий. Принимает значение [1..15].
18	Установить режим работы учетной записи пользователя (необязательно).	esr(config-user)# mode <MODE>	<MODE> – режим работы учетной записи пользователя. Может принимать значения: cli – режим работы по умолчанию, пользователь получает доступ к интерфейсу командной строки, предназначенному для управления, просмотра состояния и мониторинга устройства; techsupport – пользователь получает доступ к командной оболочке, в которой выполняется процедура отладки устройства совместно с специалистами технической поддержки; sftp – пользователь используется для организации доступа к встроенному SFTP-серверу, возможность работы в какой-либо командой оболочке при этом у пользователя отсутствует.
19	Указать метод аутентификации SSH-сессий для пользователя (необязательно).	esr(config-user)# ssh authentication method <METHOD>	<METHOD> – метод аутентификации SSH-сессий. Может принимать значения: password – аутентификация пользователя при открытии SSH-сессий может быть произведена только по паролю; pubkey – аутентификация пользователя при открытии SSH-сессий может быть произведена только по публичному ключу; both – аутентификация пользователя при открытии SSH-сессий может быть произведена как по паролю, так и по публичному ключу.
20	Указать имя файла публичного ключа, который будет использован при аутентификации SSH-сессии пользователя (необязательно).	esr(config-user)# ssh pubkey <NAME>	<NAME> – имя файла публичного ключа, расположенного в разделе crypto:public-key, задаётся строкой до 31 символа.
21	Отключить авторизацию для предустановленного пользователя admin (необязательно).	esr(config)# no admin login enable
22	Перейти в режим конфигурирования соответствующего терминала.	esr(config)# line <TYPE>	<TYPE> – тип консоли: console – локальная консоль; telnet – удаленная консоль; ssh – защищенная удаленная консоль.
23	Активировать список аутентификации входа пользователей в систему.	esr(config-line-console)# login authentication <NAME>	<NAME> – имя списка, задаётся строкой до 31 символа. Создан на шаге 1.
24	Активировать список аутентификации повышения привилегий пользователей.	esr(config-line-console)# enable authentication <NAME>	<NAME> – имя списка, задаётся строкой до 31 символа. Создан на шаге 2.
25	Задать интервал, по истечении которого будет разрываться бездействующая сессия.	esr(config-line-console)# exec-timeout <SEC>	<SEC> – период времени в минутах, принимает значения [1..65535].