...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# aaa accounting commands stop-only tacacs |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# aaa accounting login start-stop tacacs |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# aaa authentication attempts max-fail 5 30 |
...
Данной командой создаются списки способов аутентификации повышения привилегий пользователей. При неудачной попытке аутентификации по одному способу происходит попытка аутентификации по следующему способу в списке.
В конфигурации по умолчанию существует список с именем «default». Список «default» содержит один способ аутентификации – «enable». Чтобы использовать список для аутентификации повышения привилегий пользователей, необходимо выполнить его привязку командой, описанной в разделе enable authentication.
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# aaa authentication enable enable-test tacacs enable |
...
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
Синтаксис
aaa authentication login { default | <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ]
[ <METHOD 4> ]
no aaa authentication login { default | <NAME> }
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# aaa authentication login login-test tacacs local |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# aaa authentication mode break |
...
Данной командой создаются списки способов авторизации команд, вводимых пользователем в систему. При неудачной попытке авторизации по одному способу происходит попытка аутентификации по следующему способу в списке.
В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ авторизации – «local». Чтобы использовать список для авторизации команд вводимых пользователем в систему, необходимо выполнить его активацию командой, описанной в разделе commands authorization.
Использование отрицательной формы команды (no) удаляет список способов авторизации.
Scroll Pagebreak |
---|
Синтаксис
aaa authorization commands { default | <NAME> } <METHOD 1> [ <METHOD 2> ]
no aaa authorization commands { default | <NAME> }
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# aaa authorization commands |
...
Данной командой включается авторизация конрольных контрольных команд (help, logout, end, exit) на TACACS-сервере.
В конфигурации по умолчанию этот функционал отключенэта функция отключена.
Использование отрицательной формы команды (no) возвращает состояние к дефолтному.
Синтаксис
[ no ] aaa authorization control-commands enable
Значение по умолчанию
no aaa authorization control-commands enable
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# aaa authorization control-commands enable |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# aaa authorization mode break |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# aaa das-profile profile1 esr(config-aaa-das-profile)# |
...
Командный режим
CONFIG-LINE-CONSOLE
Пример
...
Блок кода |
---|
esr(config-line-console)# aaa disable |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# aaa radius-profile profile1 esr(config-aaa-radius-profile)# |
...
Командный режим
CONFIG-RADIUS-SERVER
Пример
...
Блок кода |
---|
esr(config-radius-server)# acct-port 4444 |
...
Командный режим
CONFIG-RADIUS-SERVER
Пример
...
Блок кода |
---|
esr(config-radius-server)# auth-port 4444 |
...
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
...
Блок кода |
---|
esr# clear users blocked |
...
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
...
Блок кода |
---|
esr# clear users-session |
...
Командный режим
CONFIG-DAS-SERVER
Пример
...
Блок кода |
---|
esr(config-das-server)# clients object-group pcrf |
...
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
Пример
...
Блок кода |
---|
esr(config-line-ssh)# commands authorization authorization-test |
...
Данная команда используется для добавления сервера динамической авторизации (DAS) и перехода в командный режим DAS SERVER. Сервера динамической авторизации (DAS) принимают RADIUS CoA запросы от клиентов динамической авторизации (DAC), например, отключение или повторный запрос списка сервисов пользователя.
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# das-server main esr(config-das-server)# |
...
Командный режим
CONFIG-AAA-DAS-PROFILE
Пример
Блок кода |
---|
esr(config)# das-server mainesr(config-das-server)# |
...
Командный режим
CONFIG-RADIUS-SERVER
Пример
...
Блок кода |
---|
esr(config-radius-server)# dead-interval 600 |
...
CONFIG-RADIUS-SERVER-PROFILE
Пример
...
Установить описание для профиля IP-адресов:
...
Необходимый уровень привилегий
2
Командный режим
ROOT
Пример
...
Блок кода |
---|
esr# disable esr> |
...
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
...
Блок кода |
---|
esr> enable 10 esr# |
Scroll Pagebreak |
---|
Якорь | ||||
---|---|---|---|---|
|
...
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
Пример
...
Блок кода |
---|
esr(config-line-console)# enable authentication enable-test |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# enable password 12345678 privilege 10 |
...
CONFIG-LINE-TELNET
CONFIG-LINE-AUX 1
Пример
...
Блок кода |
---|
esr(config-line-ssh)# exec-timeout 600 |
...
Командный режим
CONFIG-USER
Пример
...
Блок кода |
---|
esr(config-user)# ip sftp enable |
...
CONFIG-RADIUS-SERVER
CONFIG-DAS-SERVER
Пример
...
Блок кода |
---|
esr(config-tacacs-server)# key ascii-text 12345678 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server base-dn “dc=example,dc=com” |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server bind authenticate root-dn “cn=admin,dc=example,dc=com” |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server bind authenticate root-password ascii-text 12345678 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server bind timeout 5 |
...
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server dscp 40 |
...
<LDAP-HOST-NAME> – DNS-имя LDAP-сервера, задаётся строкой до 31 символа. Для корректного сопоставления DNS-имени хоста с IP-адресом на маршрутизаторе должен должна быть запущен запущена и настроен функционал настроена функция domain lookup enable.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server host 10.100.100.1 esr(config-ldap-server)# |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server naming-attribute displayName |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server privilege-level-attribute title |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server search filter user-object-class shadowAccount |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server search scope onelevel |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server search timeout 10 |
ldap-server ssl
...
crypto
Данной командой указывается сертификат, который будет использоваться для установления SSL-соединения с LDAP-сервером.
Использование отрицательной формы команды (no) удаляет из конфигурации сертификат для установления SSL-соединения с LDAP-сервером.
Синтаксис
ldap-server ssl certificatecrypto <FILE-NAME>
no ldap-server ssl certificate crypto
Параметры
Отсутствуют.
Значение по умолчанию
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server ssl certificatecrypto ldap-ssl.crt |
ldap-server ssl check-peer disable
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server ssl check-peer disable |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# ldap-server ssl enable |
...
Синтаксис
[no] line <TYPE>
Scroll Pagebreak |
---|
Параметры
<TYPE> – тип консоли:
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# line console esr(config-line-console)# |
...
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
Пример
...
Блок кода |
---|
esr(config-line-console)# login authentication login-test |
...
CONFIG-USER
CHANGE-EXPIRED-PASSWORD
Пример
...
Блок кода |
---|
esr(config-user) password test |
...
CONFIG-LDAP-SERVER
CONFIG-DAS-SERVER
Пример
...
Блок кода |
---|
esr(config-tacacs-server)# port 4444 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Scroll Pagebreak |
---|
Синтаксис
priority <PRIORITY>
...
CONFIG-RADIUS-SERVER
CONFIG-LDAP-SERVER
Пример
...
Блок кода |
---|
esr(config-tacacs-server)# priority 5 |
...
- необходимый уровень привилегий пользователям из локальной базы назначается указанной командой;
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу RADIUS, берется извлекается из атрибута cisco-avpair = "shell:priv-lvl=<PRIV>";
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу TACACS, берется извлекается из атрибута priv-lvl=<PRIV>;
- уровень привилегий для пользователей, авторизовавшихся по протоколу LDAP, берется извлекается из атрибута, заданного командой privilege-level-attribute, описанной в разделе line, по умолчанию priv-lvl=<PRIV>.
...
Командный режим
CONFIG-USER
Пример
...
Блок кода |
---|
esr(config-user)# privilege 15 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Установить для поддерева команд «show» корневого командного режима необходимый уровень привилегий 2. Команды поддерева «show interfaces» оставить с уровнем привилегий 1.
...
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# radius-server dscp 40 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# radius-server host 10.100.100.1 esr(config-radius-server)# |
...
CONFIG-RADIUS-SERVER-PROFILE
Пример
...
Блок кода |
---|
esr(config-aaa-radius-profile)# radius-server host 10.100.100.1 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# radius-server retransmit 5 |
...
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# radius-server timeout 5 |
...
Командный режим
CONFIG-RADIUS-SERVER
Пример
...
Блок кода |
---|
esr(config)# retransmit 5 |
Scroll Pagebreak |
---|
security passwords default-expired
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# security passwords default-expired |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# security passwords history 5 |
...
Данной командой устанавливается время действия пароля локального пользователя. При попытке подключения пользователя с истекшим паролем , пользователь будет направлен в режим принудительной смены пароля.
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# security passwords lifetime 30 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# security passwords lower-case 2 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# security passwords max-length 30 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# security passwords min-length 10 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# security passwords numeric-count 2 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# security passwords special-case 2 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# security passwords symbol-types 2 |
...
Данной командой устанавливается минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2c SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# security passwords upper-case 2 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# security snmp-community max-length 30 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# security snmp-community min-length 10 |
...
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
...
Блок кода |
---|
esr# show aaa accounting Login : radius Commands : tacacs |
...
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
...
Блок кода |
---|
esr# show aaa authentication Login Authentication Method Lists ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ List Methods ---------------- -------------------------------- default local Enable Authentication Method Lists ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ List Methods ---------------- -------------------------------- default enable Lines configuration ~~~~~~~~~~~~~~~~~~~ Line Login method list Enable method list --------- -------------------------------- -------------------------------- console default default telnet default default ssh default default |
...
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
...
Блок кода |
---|
esr# show aaa ldap-servers Base DN: dc=example,dc=com Root DN: cn=admin,dc=example,dc=com Root password: CDE65039E5591FA3 Naming attribute: uid Privilege level attribute: priv-lvl User object class: posixAccount DSCP: 63 Bind timeout: 3 Search timeout: 0 Search scope: subtree IP Address Port Priority -------------------------------- ------------ ------------ 10.100.100.1 389 1 |
...
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
...
Блок кода |
---|
esr# show aaa radius-servers Timeout: 3 Retransmit: 1 DSCP: 63 IP Addres Timeout Priority Usage Key ------------ ---------- ---------- ---------- --------------------------- 2.2.2.2 -- 1 all 9DA7076CA30B5FFE0DC9C4 2.4.4.4 -- 1 all 9DA7076BA30B4EFCE5 |
...
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
...
Блок кода |
---|
esr# show aaa tacacs-servers Timeout : 3 DSCP: 63 IP Address Port Priority Key ---------------------- ------------ ------------ -------------------------------- 10.100.100.1 49 1 CDE65039E5591FA3 10.100.100.5 49 10 CDE65039E5591FA3 |
...
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
...
Блок кода |
---|
esr# show users SID User name Logged in at Protocol Host Timers Login/Priv Level ---- -------------------- ----------------- ----------------- -------------------- ----------------- ----- 0 * admin 26/06/23 15:47:38 SSH 192.168.1.44 00:29:59/00:00:00 15 1 admin 26/06/23 15:48:08 Telnet 192.168.1.44 00:25:08/00:00:00 15 2 admin 26/06/23 15:52:47 Console Console 00:29:56/00:00:00 15 |
...
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
...
Блок кода |
---|
esr# show user accounts Name Password Privilege -------------------------------- -------------------------------- --------- admin $6$1sxrvGaV8Za8oX/K$YNel5xYPZ4cj 15 bemYWYNpQBQKDxWE9v0aoKgQ kRCEb0EMNuusO9Kmg7UBs7nA3buEM87e Eu.rA6tZq0 techsupport $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV 15 9jHcp. 9lweQaSldw7ZtUr uH66uZx9.EBASff//hUj8ObUaC484TNR x. remote $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV 1 9jHcp.kqFAK.vmvyY9lweQaSldw7ZtUr uH66uZx9.EBASff//hUj8ObUaC484TNR x. operator $6$eILpbbyRxedCzvVD$4RHP08mjXvNf 1 urX7V/ULCZ1oHIWMwE6h5f zgwZQUZcPoZCEyaqQQqCicRMRuPwhxrQ bvGChWreW1 |
...
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
...
Блок кода |
---|
esr# show users blocked User name Failures Latest failure From -------------------- -------- ----------------- ---------------- tester 4 10/09/17 08:29:42 0.0.0.0 |
...
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
Пример
...
Блок кода |
---|
esr(config-radius-server)# source-address 220::71 |
...
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
Пример
...
Блок кода |
---|
esr(config-radius-server)# source-interface gigabitethernet 1/0/1 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# system configuration-exclusively |
...
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# tacacs-server dscp 40 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# tacacs-server host 10.100.100.1 esr(config-tacacs-server)# |
...
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# tacacs-server timeout 5 |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# tech-support login enable |
...
Командный режим
CONFIG-RADIUS-SERVER
Пример
...
Блок кода |
---|
esr(config-radius-server)# timeout 7 |
...
Командный режим
CONFIG-RADIUS-SERVER
Пример
...
Блок кода |
---|
esr(config-radius-server)# usage pptp |
...
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
...
Блок кода |
---|
esr(config)# username test esr(config-user)# |
...