...
Якорь | ||||
---|---|---|---|---|
|
Scroll Pagebreak |
---|
...
В конфигурации по умолчанию существует список с именем «default». Список «default» содержит один способ аутентификации – «enable». Чтобы использовать список для аутентификации повышения привилегий пользователей, необходимо выполнить его привязку командой, описанной в разделе Настройка AAA#enable enable authentication.
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
...
В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ аутентификации – «local». Чтобы использовать список для аутентификации входа пользователей, необходимо выполнить его активацию командой, описанной в разделе Настройка AAA#login login authentication.
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
...
Данной командой задаётся интервал, в течении которого на RADIUS-сервер не будут отправляться пакеты. В данное состояние RADIUS-сервер переводится по истечении таймаута ожидания ответа на запрос последнего допустимого повтора (см. раздел Настройка AAA#radiusradius-server retransmit).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
...
Блок кода |
---|
esr# disable esr> |
Scroll Pagebreak |
---|
Данной командой производится повышение уровня привилегий пользователя. Способы аутентификации повышения привилегий пользователей задаются с помощью команды, описанной в разделе Настройка AAA#aaa aaa authentication attempts max-fail.
...
Предупреждение |
---|
По умолчанию в конфигурации пароли не заданы, то есть любой системный пользователь может получить 15 -й необходимый уровень привилегий. |
...
<TEXT> – строка [8..16] ASCII-символов (для TACACS-сервера – до 60 [1..16] ASCII-символов);
<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов (для TACACS-сервера – до 120 символов).
...
Использование отрицательной формы команды (no) устанавливает параметры терминала по умолчанию. Параметры по умолчанию описаны в разделах Настройка AAA#login login authentication и Настройка AAA#enable enable authentication.
Синтаксис
[no] line <TYPE>
...
Данной командой производится установка уровня привилегий пользователя. Набор команд, который доступен пользователю, зависит от уровня привилегий. Пользователям с уровнями привилегий от 1 до 9 доступен только просмотр информации. Пользователям с уровнем привилегий от 10 до 15 доступна большая часть команд конфигурирования. Пользователям с уровнем привилегий 15 доступен полный набор команд. Требуемый необходимый уровень привилегий команд может быть изменен, описание в разделе Настройка AAA#description description.
Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.
...
- необходимый уровень привилегий пользователям из локальной базы назначается указанной командой;
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу RADIUS, берется из атрибута cisco-avpair = "shell:priv-lvl=<PRIV>";
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу TACACS, берется из атрибута priv-lvl=<PRIV>;
- уровень привилегии для пользователей авторизовавшихся по протоколу LDAP берется из атрибута заданного командой
privilege-level-attribute, описанной в разделе Настройка AAA#line line, по умолчанию priv-lvl=<PRIV>;
...
Не задан, используется значение глобального параметра, описанного в разделе Настройка AAA#radiusradius-server retransmit.
Необходимый уровень привилегий
...
Данной командой включается режим запрета на использование ранее установленных паролей локальных пользователей. В качестве параметра указывается количество паролей, сохраняемых в памяти маршрутизатора.
...
<COUNT> – количество паролей, сохраняемых в памяти маршрутизатора [0..15]. При уменьшении данного значения лишние, лишние более старые пароли удаляются.
...
Командный режим
CONFIG-RADIUS-SERVER
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
Пример:
Блок кода |
---|
esr(config-radius-server)# source-interface gigabitethernet 1/0/1 |
...
Не задан, используется значение глобального таймера, описанного в разделе Настройка AAA#radiusradius-server timeout.
Необходимый уровень привилегий
...
aaa – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета telnet-, ssh-, console-сессий;
auth – RADIUS-сервер будет использоваться для аутентификации и авторизации telnet-, ssh-, console-сессий;
acct – RADIUS-сервер будет использоваться для учета telnet-, ssh-, console-сессий;
pptp – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета удаленных пользователей, подключающихся по протоколу PPTP;
...