aaa accounting commands
Данной командой конфигурируется список способов учета команд, введённых в CLI.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
aaa accounting commands stop-only <METHOD>
no aaa accounting commands stop-only
Параметры
<METHOD> – способы учета:
- tacacs – учет введенных команд по протоколу TACACS.
Значение по умолчанию
Учёт не ведется.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# aaa accounting commands stop-only tacacs
aaa accounting login
Данной командой конфигурируется список способов учета сессий пользователей. Ведение учета активируется и прекращается, когда пользователь входит и отключается от системы, что соответствует значениям «start» и «stop» в сообщениях протоколов RADIUS и TACACS.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
aaa accounting login start-stop <METHOD 1> [ <METHOD 2> ]
no aaa accounting login start-stop
Параметры
<METHOD> – способы учета:
- tacacs – учет сессий по протоколу TACACS;
- radius – учет сессий по протоколу RADIUS.
Значение по умолчанию
Учет сессий ведется в локальный журнал.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# aaa accounting login start-stop tacacs
aaa authentication attempts max-fail
Данной командой устанавливается максимальное количество неудачных попыток аутентификации до блокировки пользователя и время, на которое происходит блокировка.
Использование отрицательной формы команды (no), значения количества попыток и период блокировки устанавливает по умолчанию.
Синтаксис
aaa authentication attempts max-fail <COUNT> <TIME>
no aaa authentication attempts max-fail
Параметры
<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];
<TIME> – интервал времени в секундах, на который будет заблокирован пользователь, принимает значения [1..65535].
Значение по умолчанию
Количество неудачных попыток – 5.
Период блокировки – 300.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# aaa authentication attempts max-fail 5 30
aaa authentication enable
Данной командой создаются списки способов аутентификации повышения привилегий пользователей. При неудачной попытке аутентификации по одному способу происходит попытка аутентификации по следующему способу в списке.
В конфигурации по умолчанию существует список с именем «default». Список «default» содержит один способ аутентификации – «enable». Чтобы использовать список для аутентификации повышения привилегий пользователей, необходимо выполнить его привязку командой, описанной в разделе Настройка AAA#enable authentication.
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
Синтаксис
aaa authentication enable <NAME> <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]
no aaa authentication enable <NAME>
Параметры
<NAME> – имя списка: строка до 31 символа;
- default – имя списка «default».
<METHOD> – способы аутентификации:
- enable – аутентификация с помощью enable-паролей;
- tacacs – аутентификация по протоколу TACACS;
- radius – аутентификация по протоколу RADIUS;
- ldap – аутентификация по протоколу LDAP.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# aaa authentication enable enable-test tacacs enable
aaa authentication login
Данной командой создаются списки способов аутентификации входа пользователей в систему. При неудачной попытке аутентификации по одному способу происходит попытка аутентификации по следующему в списке.
В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ аутентификации – «local». Чтобы использовать список для аутентификации входа пользователей, необходимо выполнить его активацию командой, описанной в разделе Настройка AAA#login authentication.
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
Синтаксис
aaa authentication login { default | <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ]
[ <METHOD 4> ]
no aaa authentication login { default | <NAME> }
Параметры
<NAME> – имя списка, задаётся строкой до 31 символа.
Способы аутентификации:
- local – аутентификация с помощью локальной базы пользователей;
- tacacs – аутентификация по списку TACACS-серверов;
- radius – аутентификация по списку RADIUS-серверов;
- ldap – аутентификация по списку LDAP-серверов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# aaa authentication login login-test tacacs local
aaa authentication mode
Данной командой определяется режим работы со списками методов аутентификации.
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
Синтаксис
[no] aaa authentication mode { break | chain }
Параметры
break – при аутентификации будут использоваться последующие методы в случае недоступности более приоритетного;
chain – при аутентификации будут использоваться последующие методы в случае получения отказа от более приоритетного.
Значение по умолчанию
chain
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# aaa authentication mode break
aaa authorization commands
Данной командой создаются списки способов авторизации команд, вводимых пользователем в систему. При неудачной попытке авторизации по одному способу происходит попытка аутентификации по следующему способу в списке.
В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ авторизации – «local». Чтобы использовать список для авторизации команд вводимых пользователем в систему, необходимо выполнить его активацию командой, описанной в разделе commands authorization.
Использование отрицательной формы команды (no) удаляет список способов авторизации.
Синтаксис
aaa authorization commands { default | <NAME> } <METHOD 1> [ <METHOD 2> ]
no aaa authorization commands { default | <NAME> }
Параметры
<NAME> – имя списка, задаётся строкой до 31 символа.
Способы аутентификации:
- local – авторизация с помощью локальной базы пользователей;
- tacacs – авторизация по списку TACACS-серверов;
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# aaa authorization commands
aaa authorization control-commands enable
Данной командой включается авторизация контрольных команд (help, logout, end, exit) на TACACS-сервере. В конфигурации по умолчанию эта функция отключена.
Использование отрицательной формы команды (no) возвращает состояние к дефолтному.
Синтаксис
[ no ] aaa authorization control-commands enable
Значение по умолчанию
no aaa authorization control-commands enable
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# aaa authorization control-commands enable
aaa authorization mode
Данной командой определяется режим работы со списками методов авторизации.
Использование отрицательной формы команды (no) удаляет список способов авторизации.
Синтаксис
[no] aaa authorization mode { break | chain }
Параметры
break – при аутентификации будут использоваться последующие методы в случае недоступности более приоритетного;
chain – при аутентификации будут использоваться последующие методы в случае получения отказа от более приоритетного.
Значение по умолчанию
chain
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# aaa authorization mode break
aaa das-profile
Данная команда используется для добавления профиля серверов динамической авторизации (DAS) и перехода в командный режим DAS SERVER PROFILE.
Использование отрицательной формы команды (no) удаляет заданный профиль серверов динамической авторизации (DAS).
Синтаксис
[no] aaa das-profile <NAME>
Параметры
<NAME> – имя профиля серверов динамической авторизации (DAS), задается строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# aaa das-profile profile1 esr(config-aaa-das-profile)#
aaa disable
Данной командой отключает доступ на маршрутизатор через консольный интерфейс.
При использовании отрицательной формы команды (no) доступ на маршрутизатор через консольный интерфейс включается.
Синтаксис
[no] aaa disable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Доступ на маршрутизатор через консольный интерфейс включен.
Необходимый уровень привилегий
10
Командный режим
CONFIG-LINE-CONSOLE
Пример
esr(config-line-console)# aaa disable
aaa radius-profile
Данная команда используется для добавления профиля RADIUS-серверов и перехода в командный режим RADIUS SERVER PROFILE.
Использование отрицательной формы команды (no) удаляет заданный профиль RADIUS-серверов.
Синтаксис
[no] aaa radius-profile <NAME>
Параметры
<NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# aaa radius-profile profile1 esr(config-aaa-radius-profile)#
acct-port
Данной командой задаётся номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аккаунтинга.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
acct-port <PORT>
no acct-port
Параметры
<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
Значение по умолчанию
1813
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
Пример
esr(config-radius-server)# acct-port 4444
auth-port
Данной командой задаётся номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аутентификации и авторизации.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
auth-port <PORT>
no auth-port
Параметры
<PORT> – номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
Значение по умолчанию
1812
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
Пример
esr(config-radius-server)# auth-port 4444
clear users blocked
Данной командой удаляется информация о неправильных попытках аутентификации различных пользователей.
Синтаксис
clear users blocked <NAME>
Параметры
<NAME> – имя пользователя, для которого необходимо очистить статистику неправильных попытках аутентификации, задаётся строкой до 31 символа.
Без указания имени пользователя очищается вся таблица неправильных попыток аутентификации.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# clear users blocked
clear user-session
Данной командой закрывается рабочая сессия пользователя CLI.
Синтаксис
clear user-session [ <USERNAME> | <SESSION> ]
Параметры
<NAME> – имя пользователя сессию которого необходимо закрыть, задаётся строкой до 31 символа.
<SESSION> – номер терминальной сессии которую необходимо закрыть, задаётся число в диапазоне [1..10].
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# clear users-session
clients
Данной командой определяется список клиентов динамической авторизации (DAC), на запросы которых будет отвечать сервер динамической авторизации (DAS).
Использование отрицательной формы команды (no) удаляет список клиентов динамической авторизации (DAC).
Синтаксис
clients object-group <NAME>
no clients
Параметры
<NAME> – имя профиля IP-адресов, содержащий адреса клиентов динамической авторизации, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-DAS-SERVER
Пример
esr(config-das-server)# clients object-group pcrf
commands authorization
Данной командой осуществляется активация списка авторизации команд вводимых пользователем в систему.
В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ авторизации – «local».
Использование отрицательной формы команды (no) делает список с именем «default» активным.
Синтаксис
commands authorization <NAME>
no commands authorization
Параметры
<NAME> – имя списка, задаётся строкой до 31 символа.
Значение по умолчанию
default
Необходимый уровень привилегий
15
Командный режим
CONFIG-LINE-CONSOLE
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
Пример
esr(config-line-ssh)# commands authorization authorization-test
das-server
Данная команда используется для добавления сервера динамической авторизации (DAS) и перехода в командный режим DAS SERVER. Сервера динамической авторизации (DAS) принимают RADIUS CoA запросы от клиентов динамической авторизации (DAC), например, отключение или повторный запрос списка сервисов пользователя.
Использование отрицательной формы команды (no) удаляет заданный сервер динамической авторизации (DAS).
Синтаксис
[no] das-server <NAME>
Параметры
<NAME> – имя сервера динамической авторизации (DAS), задается строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# das-server main esr(config-das-server)#
das-server
Данная команда используется для добавления сервера динамической авторизации (DAS) в конфигурируемый профиль серверов динамической авторизации.
Использование отрицательной формы команды (no) удаляет заданный сервер динамической авторизации (DAS).
Синтаксис
[no] das-server <NAME>
Параметры
<NAME> – имя сервера динамической авторизации (DAS), задается строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG-AAA-DAS-PROFILE
Пример
esr(config)# das-server mainesr(config-das-server)#
dead-interval
Данной командой задаётся интервал, в течении которого на RADIUS-сервер не будут отправляться пакеты. В данное состояние RADIUS-сервер переводится по истечении таймаута ожидания ответа на запрос последнего допустимого повтора (см. раздел Настройка AAA#radius-server retransmit).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
dead-interval <SEC>
no dead-interval
Параметры
<SEC> – период времени в секундах, принимает значения [0..3600].
Значение по умолчанию
120
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-SERVER
Пример
esr(config-radius-server)# dead-interval 600
description
Команда используется для изменения описания профиля серверов динамической авторизации (DAS) или профиля RADIUS-серверов.
Использование отрицательной формы команды (no) удаляет описание профиля.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание профиля, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DAS-SERVER-PROFILE
CONFIG-RADIUS-SERVER-PROFILE
Пример
Установить описание для профиля IP-адресов:
esr(config-aaa-das-profile)# description "Main profile"
disable
Данной командой производится понижение уровня привилегий пользователя до первоначальных.
Синтаксис
disable
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
2
Командный режим
ROOT
Пример
esr# disable esr>
enable
Данной командой производится повышение уровня привилегий пользователя. Способы аутентификации повышения привилегий пользователей задаются с помощью команды, описанной в разделе Настройка AAA#aaa authentication attempts max-fail.
По умолчанию в конфигурации установлен метод аутентификации по паролю «enable». При этом пароли не заданы, то есть любой системный пользователь может получить 15 необходимый уровень привилегий.
Для аутентификации повышения привилегий по протоколам TACACS/RADIUS/LDAP на сервере должны быть созданы пользователи $enab<PRIV>$, где <PRIV> – необходимый уровень привилегий пользователя, который должен быть аутентифицирован.
Синтаксис
enable [ <PRIV> ]
Параметры
<PRIV> – необходимый уровень привилегий, принимает значение [2..15].
Значение по умолчанию
15
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr> enable 10 esr#
enable authentication
Данной командой осуществляется активация списка аутентификации повышения привилегий пользователей, который будет использоваться в конфигурируемом терминале.
В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации – «enable».
Использование отрицательной формы команды (no) делает список с именем «default» активным.
Синтаксис
enable authentication <NAME>
no enable authentication
Параметры
<NAME> – имя списка, задаётся строкой до 31 символа.
Значение по умолчанию
default
Необходимый уровень привилегий
15
Командный режим
CONFIG-LINE-CONSOLE
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
Пример
esr(config-line-console)# enable authentication enable-test
enable password
Данной командой устанавливается пароль, который будет запрашиваться при повышении уровня привилегий пользователя.
По умолчанию в конфигурации пароли не заданы, то есть любой системный пользователь может получить 15 необходимый уровень привилегий.
Использование отрицательной формы команды (no) удаляет пароль из системы.
Синтаксис
enable password { <CLEAR-TEXT> | encrypted <HASH_SHA512> } [ privilege <PRIV> ]
no enable password [ privilege <PRIV> ]
Параметры
<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов;
<PRIV> – необходимый уровень привилегий, принимает значение [2..15], значение по умолчанию 15.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# enable password 12345678 privilege 10
exec-timeout
Данной командой задаётся интервал, по истечении которого будет разрываться бездействующая сессия.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
exec-timeout <SEC>
no exec-timeout
Параметры
<SEC> – период времени в минутах, принимает значения [1..65535].
Значение по умолчанию
30 минут
Необходимый уровень привилегий
15
Командный режим
CONFIG-LINE-CONSOLE
CONFIG-LINE-SSH
CONFIG-LINE-TELNET
CONFIG-LINE-AUX 1
Пример
esr(config-line-ssh)# exec-timeout 600
1 Только для ESR-21.
ip sftp enable
Данной командой на маршрутизаторе включается доступ по sftp для конфигурируемого пользователя.
При использовании отрицательной формы команды (no) отключает доступ по sftp для конфигурируемого пользователя.
Синтаксис
[no] ip sftp enable
Параметры
Отсутствуют
Значение по умолчанию
Выключено
Необходимый уровень привилегий
10
Командный режим
CONFIG-USER
Пример
esr(config-user)# ip sftp enable
key
Данной командой задаётся пароль для аутентификации на удаленном сервере.
Использование отрицательной формы команды (no) удаляет заданный пароль для аутентификации на удаленном сервере.
Синтаксис
key ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }
no key
Параметры
<TEXT> – строка [8..16] ASCII-символов (для TACACS-сервера – [1..16] ASCII-символов);
<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов (для TACACS-сервера – до 120 символов).
Необходимый уровень привилегий
15
Командный режим
CONFIG-TACACS-SERVER
CONFIG-RADIUS-SERVER
CONFIG-DAS-SERVER
Пример
esr(config-tacacs-server)# key ascii-text 12345678
ldap-server base-dn
Данной командой задаётся базовый DN (Distinguished name), который будет использоваться при поиске пользователей.
Использование отрицательной формы команды (no) удаляет заданный базовый DN.
Синтаксис
ldap-server base-dn <NAME>
no ldap-server base-dn
Параметры
<NAME> – базовый DN, задается строкой до 255 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ldap-server base-dn “dc=example,dc=com”
ldap-server bind authenticate root-dn
Данной командой задаётся DN (Distinguished name) пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.
Использование отрицательной формы команды (no) удаляет заданный DN пользователя.
Синтаксис
ldap-server bind authenticate root-dn <NAME>
no bind authenticate root-dn
Параметры
<NAME> – DN пользователя с правами администратора, задается строкой до 255 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ldap-server bind authenticate root-dn “cn=admin,dc=example,dc=com”
ldap-server bind authenticate root-password
Данной командой задаётся пароль пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.
Использование отрицательной формы команды (no) удаляет заданный пароль пользователя.
Синтаксис
ldap-server bind authenticate root-password ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }
no bind authenticate root-password
Параметры
<TEXT> – строка [8..16] ASCII-символов;
<ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ldap-server bind authenticate root-password ascii-text 12345678
ldap-server bind timeout
Данной командой задаётся интервал, по истечении которого устройство считает, что LDAP-сервер недоступен.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server bind timeout <SEC>
no ldap-server bind timeout
Параметры
<SEC> – период времени в секундах, принимает значения [1..30].
Значение по умолчанию
3 секунды
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ldap-server bind timeout 5
ldap-server dscp
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов LDAP-сервера.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
ldap-server dscp <DSCP>
no ldap-server dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
63
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# ldap-server dscp 40
ldap-server host
Данная команда используется для добавления LDAP-сервера в список используемых серверов и перехода в командный режим LDAP SERVER.
Использование отрицательной формы команды (no) удаляет заданный LDAP-сервер.
Синтаксис
[no] ldap-server host { <ADDR> | <IPV6-ADDR> | <LDAP-HOST-NAME> } [ vrf <VRF> ]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
<ADDR> – IP-адрес LDAP-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес LDAP-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
<LDAP-HOST-NAME> – DNS-имя LDAP-сервера, задаётся строкой до 31 символа. Для корректного сопоставления DNS-имени хоста с IP-адресом на маршрутизаторе должна быть запущена и настроена функция domain lookup enable.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ldap-server host 10.100.100.1 esr(config-ldap-server)#
ldap-server naming-attribute
Данной командой задаётся имя атрибута объекта, со значением которого идет сравнение имени искомого пользователя на LDAP-сервере.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server naming-attribute <NAME>
no ldap-server naming-attribute
Параметры
<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.
Значение по умолчанию
uid
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ldap-server naming-attribute displayName
ldap-server privilege-level-attribute
Данной командой задаётся имя атрибута объекта, значение которого будет определять начальные привилегии пользователя на устройстве. Атрибут должен принимать значения [1..15]. Если указанный атрибут отсутствует или содержит недопустимое значение, то начальные привилегии пользователя будут соответствовать привилегиям пользователя «remote».
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server privilege-level-attribute <NAME>
no ldap-server privilege-level-attribute
Параметры
<NAME> – имя атрибута объекта, задаётся строкой до 127 символов.
Значение по умолчанию
priv-lvl
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ldap-server privilege-level-attribute title
ldap-server search filter user-object-class
Данной командой задаётся имя класса объектов, среди которых необходимо выполнять поиск пользователей на LDAP-сервере.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server search filter user-object-class <NAME>
no ldap-server search filter user-object-class
Параметры
<NAME> – имя класса объектов, задаётся строкой до 127 символов.
Значение по умолчанию
posixAccount
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ldap-server search filter user-object-class shadowAccount
ldap-server search scope
Данной командой задаётся область поиска пользователей в дереве LDAP-сервера.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server search scope <SCOPE>
no ldap-server search scope
Параметры
<SCOPE> – область поиска пользователей на LDAP-сервере, принимает следующие значения:
- onelevel – выполнять поиск в объектах на следующем уровне после базового DN в дереве LDAP-сервера;
- subtree – выполнять поиск во всех объектах поддерева базового DN в дереве LDAP-сервера.
Значение по умолчанию
subtree
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ldap-server search scope onelevel
ldap-server search timeout
Данной командой задаётся интервал, по истечении которого устройство считает, что LDAP-сервер не нашел записей пользователей, подходящих под условие поиска.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ldap-server search timeout <SEC>
no ldap-server search timeout
Параметры
<SEC> – период времени в секундах, принимает значения [0..30].
Значение по умолчанию
0 – устройство ожидает завершения поиска и получения ответа от LDAP-сервера.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ldap-server search timeout 10
ldap-server ssl crypto
Данной командой указывается сертификат, который будет использоваться для установления SSL-соединения с LDAP-сервером.
Использование отрицательной формы команды (no) удаляет из конфигурации сертификат для установления SSL-соединения с LDAP-сервером.
Синтаксис
ldap-server ssl crypto <FILE-NAME>
no ldap-server ssl crypto
Параметры
Отсутствуют.
Значение по умолчанию
Сертификат не указан.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ldap-server ssl crypto ldap-ssl.crt
ldap-server ssl check-peer disable
Данной командой отключается верификация LDAP-сервера по сертификату.
Использование отрицательной формы команды (no) включает верификацию LDAP-сервера по сертификату.
Синтаксис
[no] ldap-server ssl check-peer disable
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ldap-server ssl check-peer disable
ldap-server ssl enable
Данной командой включается использование SSL-соединения для LDAP-подключения (LDAP over SSL).
Использование отрицательной формы команды (no) отключается использование SSL-соединения для LDAP-подключения (LDAP over SSL).
Синтаксис
[no] ldap-server ssl enable
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# ldap-server ssl enable
line
Данной командой осуществляется переход в режим конфигурирования соответствующего терминала: локальная консоль, удаленная консоль (Telnet), удаленная защищенная консоль (SSH).
Использование отрицательной формы команды (no) устанавливает параметры терминала по умолчанию. Параметры по умолчанию описаны в разделах Настройка AAA#login authentication и Настройка AAA#enable authentication.
Синтаксис
[no] line <TYPE>
Параметры
<TYPE> – тип консоли:
- console – локальная консоль;
- telnet – удаленная консоль;
- ssh – защищенная удаленная консоль.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# line console esr(config-line-console)#
login authentication
Данной командой осуществляется активация списка аутентификации входа пользователей в систему, который будет использоваться в конфигурируемом терминале.
В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации – «local».
Использование отрицательной формы команды (no) делает список с именем «default» активным.
Синтаксис
login authentication <NAME>
no login authentication
Параметры
<NAME> – имя списка, задаётся строкой до 31 символа.
Значение по умолчанию
default
Необходимый уровень привилегий
15
Командный режим
CONFIG-LINE-CONSOLE
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
Пример
esr(config-line-console)# login authentication login-test
password
Команда для установки пароля определенному пользователю для входа в систему. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.
Использование отрицательной формы команды (no) удаляет пароль пользователя из системы.
Синтаксис
password { <CLEAR-TEXT> | encrypted <HASH_SHA512> }
no password
Параметры
<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];
<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-USER
CHANGE-EXPIRED-PASSWORD
Пример
esr(config-user) password test
port
Данной командой задаётся номер порта для обмена данными c удаленным сервером.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
port <PORT>
no port
Параметры
<PORT> – номер TCP/UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
Значение по умолчанию
49 – для TACACS-сервера;
389 – для LDAP-сервера;
Не установлено – для DAS-сервера.
Необходимый уровень привилегий
15
Командный режим
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
CONFIG-DAS-SERVER
Пример
esr(config-tacacs-server)# port 4444
priority
Данной командой задаётся приоритет использования удаленного сервера. Чем ниже значение, тем приоритетнее сервер.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
priority <PRIORITY>
no priority
Параметры
<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG-TACACS-SERVER
CONFIG-RADIUS-SERVER
CONFIG-LDAP-SERVER
Пример
esr(config-tacacs-server)# priority 5
privilege
Данной командой производится установка уровня привилегий пользователя. Набор команд, который доступен пользователю, зависит от уровня привилегий. Пользователям с уровнями привилегий от 1 до 9 доступен только просмотр информации. Пользователям с уровнем привилегий от 10 до 15 доступна большая часть команд конфигурирования. Пользователям с уровнем привилегий 15 доступен полный набор команд. Требуемый необходимый уровень привилегий команд может быть изменен, описание в разделе Настройка AAA#description.
Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.
Назначение начального уровня привилегий пользователям происходит следующим образом:
- необходимый уровень привилегий пользователям из локальной базы назначается указанной командой;
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу RADIUS, извлекается из атрибута cisco-avpair = "shell:priv-lvl=<PRIV>";
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу TACACS, извлекается из атрибута priv-lvl=<PRIV>;
- уровень привилегий для пользователей, авторизовавшихся по протоколу LDAP, извлекается из атрибута, заданного командой privilege-level-attribute, описанной в разделе Настройка AAA#line, по умолчанию priv-lvl=<PRIV>.
Если при аутентификации пользователя через протоколы TACACS/RADIUS/LDAP не была получена вышеуказанная опция или была получена опция с некорректным значением, то пользователю будут назначены привилегии пользователя «remote», по умолчанию 1. Необходимый уровень привилегий пользователя «remote» можно изменить аналогично любому другому пользователю из локальной базы с помощью указанной команды.
Синтаксис
privilege <PRIV>
no privilege
Параметры
<PRIV> – необходимый уровень привилегий, принимает значение [1..15].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG-USER
Пример
esr(config-user)# privilege 15
privilege
Данной командой производится установка минимального уровня привилегий пользователя, необходимого для выполнения команды из указанного поддерева команд.
Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.
Синтаксис
privilege <COMMAND-MODE> level <PRIV> <COMMAND>
no privilege <COMMAND-MODE> <COMMAND>
Параметры
<COMMAND-MODE> – командный режим, может принимать значения:
- change-expired-password;
- config;
- config-aaa-das-profile;
- config-aaa-radius-profile;
- config-accsess-profile;
- config-acl;
- config-acl-rule;
- config-archive;
- config-bgp;
- config-bgp-af;
- config-bgp-group;
- config-bgp-neighbor;
- config-bridge;
- config-cellular-modem;
- config-cellular-profile;
- config-class-map;
- config-class-policy-map;
- config-das-server;
- config-dhcp-server;
- config-dhcp-vendor-id;
- config-dnat;
- config-dnat-pool;
- config-dnat-rule;
- config-dnat-ruleset;
- config-e1;
- config-gre;
- config-if-gi;
- config-if-te;
- config-ike-gw;
- config-ike-policy;
- config-ike-proposal;
- config-ip4ip4;
- config-ipsec-policy;
- config-ipsec-proposal;
- config-ipsec-vpn;
- config-ipv6-bgp-af;
- config-ipv6-bgp-group;
- config-ipv6-bgp-neighbor;
- config-ipv6-dhcp-server;
- config-ipv6-ospf;
- config-ipv6-ospf-area;
- config-ipv6-ospf-vlink;
- config-ipv6-pl;
- config-ipv6-wan-rule;
- config-ipv6-wan-target;
- config-ipv6-wan-target-list;
- config-keychain;
- config-keychain-key;
- config-l2tp-server;
- config-l2tpv3;
- config-ldap-server;
- config-line-console;
- config-line-ssh;
- config-line-telnet;
- config-loopback;
- config-lt;
- config-mst;
- config-multilink;
- config-netflow-host;
- config-network-policy;
- config-ntp;
- config-object-group-application;
- config-object-group-mac;
- config-object-group-network;
- config-object-group-service;
- config-object-group-url;
- config-openvpn;
- config-openvpn-server;
- config-ospf;
- config-ospf-area;
- config-ospf-vlink;
- config-pl;
- config-policy-map;
- config-pool;
- config-port-channel;
- config-ppp-user;
- config-pppoe;
- config-pptp;
- config-pptp-server;
- config-profile;
- config-qinq-if;
- config-radius-server;
- config-rip;
- config-route-map;
- config-route-map-rule;
- config-service-port;
- config-sflow-host;
- config-snat;
- config-snat-pool;
- config-snat-rule;
- config-snat-ruleset;
- config-snmp-host;
- config-snmp-user;
- config-softgre;
- config-subif;
- config-subscriber-control;
- config-subscriber-default-service;
- config-subtunnel;
- config-tacacs-server;
- config-tracking;
- config-user;
- config-vlan;
- config-vrf;
- config-vti;
- config-wan-rule;
- config-wan-target;
- config-wan-target-list;
- config-wireless;
- config-zone;
- config-zone-pair;
- config-zone-pair-rule;
- debug;
- root.
<PRIV> – необходимый уровень привилегий, принимает значение [1..15];
<COMMAND> – поддерево команд, задается строкой до 255 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Установить для поддерева команд «show» корневого командного режима необходимый уровень привилегий 2. Команды поддерева «show interfaces» оставить с уровнем привилегий 1.
esr(config)# privilege root level 2 "show" esr(config)# privilege root level 1 "show interfaces"
radius-server dscp
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов RADIUS-сервера.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
radius-server dscp <DSCP>
no radius-server dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
63
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# radius-server dscp 40
radius-server host
Данная команда используется для добавления RADIUS-сервера в список используемых серверов и перехода в командный режим RADIUS SERVER.
Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер.
Синтаксис
[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
<ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# radius-server host 10.100.100.1 esr(config-radius-server)#
radius-server host
Данная команда используется для добавления RADIUS-сервера в профиль RADIUS-серверов.
Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер из профиля.
Синтаксис
[no] radius-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
<ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER-PROFILE
Пример
esr(config-aaa-radius-profile)# radius-server host 10.100.100.1
radius-server retransmit
Данной командой задаётся количество перезапросов к последнему активному RADIUS-серверу, которое будет выполнено перед выполнением запросов к следующим RADIUS-серверам в списке.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
radius-server retransmit <COUNT>
no radius-server retransmit
Параметры
<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# radius-server retransmit 5
radius-server timeout
Данной командой задаётся интервал, по истечении которого устройство считает, что RADIUS-сервер недоступен.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
radius-server timeout <SEC>
no radius-server timeout
Параметры
<SEC> – период времени в секундах, принимает значения [1..30].
Значение по умолчанию
3 секунды
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# radius-server timeout 5
retransmit
Данной командой задаётся количество перезапросов к RADIUS-серверу, которое будет выполнено перед выполнением запросов к следующим RADIUS-серверам в списке.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
retransmit <COUNT>
no retransmit
Параметры
<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10].
Значение по умолчанию
Не задан, используется значение глобального параметра, описанного в разделе Настройка AAA#radius-server retransmit.
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
Пример
esr(config)# retransmit 5
security passwords default-expired
Данной командой включается запрос на смену пароля по умолчанию для пользователя admin.
Использование отрицательной формы команды (no) отключает запрос на смену пароля по умолчанию.
Синтаксис
[no] security passwords default-expired
Параметры
Команда не содержит параметров.
Значение по умолчанию
Запрос на смену пароля по умолчанию отключен.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security passwords default-expired
security passwords history
Данной командой включается режим запрета на использование ранее установленных паролей локальных пользователей. В качестве параметра указывается количество паролей, сохраняемых в памяти маршрутизатора.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords history <COUNT>
no security passwords history
Параметры
<COUNT> – количество паролей, сохраняемых в памяти маршрутизатора [0..15]. При уменьшении данного значения лишние, более старые пароли удаляются.
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security passwords history 5
security passwords lifetime
Данной командой устанавливается время действия пароля локального пользователя. При попытке подключения пользователя с истекшим паролем пользователь будет направлен в режим принудительной смены пароля.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords lifetime <TIME>
no security passwords lifetime
Параметры
<TIME> – интервал времени действия пароля в днях, принимает значения [1..365].
Значение по умолчанию
Время действия пароля локального пользователя не ограничено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security passwords lifetime 30
security passwords lower-case
Данной командой устанавливается минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords lower-case <COUNT>
no security passwords lower-case
Параметры
<COUNT> – минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
Значение по умолчанию
0
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security passwords lower-case 2
security passwords max-length
Данной командой устанавливается ограничение на максимальную длину пароля локального пользователя и ENABLE-пароля.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords max-length <NUM>
no security passwords max-length
Параметры
<NUM> – максимальное количество символов в пароле, задается в диапазоне [1..32].
Значение по умолчанию
32
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security passwords max-length 30
security passwords min-length
Данной командой устанавливается ограничение на минимальную длину пароля локального пользователя и ENABLE-пароля.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords min-length <NUM>
no security passwords min-length
Параметры
<NUM> – минимальное количество символов в пароле, задается в диапазоне [1..32].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security passwords min-length 10
security passwords numeric-count
Данной командой устанавливается минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords numeric-count <COUNT>
no security passwords numeric-count
Параметры
<COUNT> – минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
Значение по умолчанию
0
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security passwords numeric-count 2
security passwords special-case
Данной командой устанавливается минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords special-case <COUNT>
no security passwords special-case
Параметры
<COUNT> – минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
Значение по умолчанию
0
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security passwords special-case 2
security passwords symbol-types
Данной командой устанавливается минимальное количество типов символов, которые должны присутствовать в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords symbol-types <COUNT>
no security passwords symbol-types
Параметры
<COUNT> – минимальное количество типов символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [1..4].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security passwords symbol-types 2
security passwords upper-case
Данной командой устанавливается минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords upper-case <COUNT>
no security passwords upper-case
Параметры
<COUNT> – минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
Значение по умолчанию
0
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security passwords upper-case 2
security snmp-community max-length
Данной командой устанавливается ограничение на максимальную длину SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security snmp-community max-length <NUM>
no security snmp-community max-length
Параметры
<NUM> – максимальное количество символов в комьюнити, задается в диапазоне [1..128].
Значение по умолчанию
128
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security snmp-community max-length 30
security snmp-community min-length
Данной командой устанавливается ограничение на минимальную длину SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
security passwords min-length <NUM>
no security passwords min-length
Параметры
<NUM> – минимальное количество символов в комьюнити, задается в диапазоне [1..128].
Значение по умолчанию
1
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# security snmp-community min-length 10
show aaa accounting
Данная команда позволяет просмотреть настроенные параметры учета.
Синтаксис
show aaa accounting
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show aaa accounting Login : radius Commands : tacacs
show aaa authentication
Данная команда позволяет просмотреть списки способов аутентификации пользователей, а также активные списки каждого типа терминалов.
Синтаксис
show aaa authentication
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show aaa authentication Login Authentication Method Lists ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ List Methods ---------------- -------------------------------- default local Enable Authentication Method Lists ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ List Methods ---------------- -------------------------------- default enable Lines configuration ~~~~~~~~~~~~~~~~~~~ Line Login method list Enable method list --------- -------------------------------- -------------------------------- console default default telnet default default ssh default default
show aaa ldap-servers
Данная команда позволяет просмотреть параметры LDAP-серверов.
Синтаксис
show aaa ldap-servers
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# show aaa ldap-servers Base DN: dc=example,dc=com Root DN: cn=admin,dc=example,dc=com Root password: CDE65039E5591FA3 Naming attribute: uid Privilege level attribute: priv-lvl User object class: posixAccount DSCP: 63 Bind timeout: 3 Search timeout: 0 Search scope: subtree IP Address Port Priority -------------------------------- ------------ ------------ 10.100.100.1 389 1
show aaa radius-servers
Данная команда позволяет просмотреть параметры RADIUS-серверов.
Синтаксис
show aaa radius-servers
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# show aaa radius-servers Timeout: 3 Retransmit: 1 DSCP: 63 IP Addres Timeout Priority Usage Key ------------ ---------- ---------- ---------- --------------------------- 2.2.2.2 -- 1 all 9DA7076CA30B5FFE0DC9C4 2.4.4.4 -- 1 all 9DA7076BA30B4EFCE5
show aaa tacacs-servers
Данная команда позволяет просмотреть параметры TACACS-серверов.
Синтаксис
show aaa tacacs-servers
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
esr# show aaa tacacs-servers Timeout : 3 DSCP: 63 IP Address Port Priority Key ---------------------- ------------ ------------ -------------------------------- 10.100.100.1 49 1 CDE65039E5591FA3 10.100.100.5 49 10 CDE65039E5591FA3
show users
Данная команда позволяет просмотреть активные сессии пользователей системы.
Синтаксис
show users
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show users SID User name Logged in at Protocol Host Timers Login/Priv Level ---- -------------------- ----------------- ----------------- -------------------- ----------------- ----- 0 * admin 26/06/23 15:47:38 SSH 192.168.1.44 00:29:59/00:00:00 15 1 admin 26/06/23 15:48:08 Telnet 192.168.1.44 00:25:08/00:00:00 15 2 admin 26/06/23 15:52:47 Console Console 00:29:56/00:00:00 15
show users accounts
Данная команда позволяет просмотреть конфигурацию пользователей системы.
Синтаксис
show users accounts
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show user accounts Name Password Privilege -------------------------------- -------------------------------- --------- admin $6$1sxrvGaV8Za8oX/K$YNel5xYPZ4cj 15 bemYWYNpQBQKDxWE9v0aoKgQ kRCEb0EMNuusO9Kmg7UBs7nA3buEM87e Eu.rA6tZq0 techsupport $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV 15 9jHcp. 9lweQaSldw7ZtUr uH66uZx9.EBASff//hUj8ObUaC484TNR x. remote $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV 1 9jHcp.kqFAK.vmvyY9lweQaSldw7ZtUr uH66uZx9.EBASff//hUj8ObUaC484TNR x. operator $6$eILpbbyRxedCzvVD$4RHP08mjXvNf 1 urX7V/ULCZ1oHIWMwE6h5f zgwZQUZcPoZCEyaqQQqCicRMRuPwhxrQ bvGChWreW1
show users blocked
Данная команда позволяет просматривать список пользователей, для которых был введен неправильный пароль. Пользователь удаляется из списка после ввода правильного пароля при аутентификации.
Синтаксис
show users blocked [ <NAME> ]
Параметры
<NAME> – имя пользователя, для которого необходимо отобразить статистику неправильных попыток аутентификации, задаётся строкой до 31 символа.
Без указания имени пользователя отображается вся таблица неправильных попыток аутентификации.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show users blocked User name Failures Latest failure From -------------------- -------- ----------------- ---------------- tester 4 10/09/17 08:29:42 0.0.0.0
source-address
Данной командой определяется IPv4/IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых пакетах на конфигурируемый AAA-сервер.
Использование отрицательной формы команды (no) удаляет указанный IPv4/IPv6-адрес источника.
Синтаксис
source-address { <ADDR> | <IPV6-ADDR> }
no source-address
Параметры
<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> – IPv6-адрес источника, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
Пример
esr(config-radius-server)# source-address 220::71
source-interface
Данной командой определяется интерфейс или туннель маршрутизатора, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых пакетах на конфигурируемый AAA-сервер.
Использование отрицательной формы команды (no) удаляет указанный интерфейс или туннель.
Синтаксис
source-interface { <IF> | <TUN> }
no source-interface
Параметры
<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
CONFIG-TACACS-SERVER
CONFIG-LDAP-SERVER
Пример
esr(config-radius-server)# source-interface gigabitethernet 1/0/1
system configuration-exclusively
Данной командой включается ограничение количества сессий CLI до одной.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
Синтаксис
[no] system configuration-exclusively
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# system configuration-exclusively
tacacs-server dscp
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов TACACS-сервера.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
tacacs-server dscp <DSCP>
no tacacs-server dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
63
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# tacacs-server dscp 40
tacacs-server host
Данная команда используется для добавления TACACS-сервера в список используемых серверов и перехода в командный режим TACACS SERVER.
Использование отрицательной формы команды (no) удаляет заданный TACACS-сервер.
Синтаксис
[no] tacacs-server host { <ADDR> | <IPV6-ADDR> } [ vrf <VRF> ]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа.
<ADDR> – IP-адрес TACACS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<IPV6-ADDR> – IPv6-адрес TACACS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# tacacs-server host 10.100.100.1 esr(config-tacacs-server)#
tacacs-server timeout
Данной командой задаётся интервал, по истечении которого устройство считает, что TACACS-сервер недоступен.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
tacacs-server timeout <SEC>
no tacacs-server timeout
Параметры
<SEC> – период времени в секундах, принимает значения [1..30].
Значение по умолчанию
3 секунды.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# tacacs-server timeout 5
tech-support login enable
Данной командой включается низкоуровневый удаленный доступ к системе с помощью пользователя «techsupport». Низкоуровневый доступ к системе позволит получить технической поддержке всю необходимую информацию, когда это необходимо.
Использование отрицательной формы команды (no) выключает низкоуровневый удаленный доступ к системе с помощью пользователя «techsupport».
Синтаксис
[no] tech-support login enable
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# tech-support login enable
timeout
Данной командой задаётся интервал, по истечении которого устройство считает, что RADIUS-сервер недоступен.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
timeout <SEC>
no timeout
Параметры
<SEC> – период времени в секундах, принимает значения [1..30].
Значение по умолчанию
Не задан, используется значение глобального таймера, описанного в разделе Настройка AAA#radius-server timeout.
Необходимый уровень привилегий
10
Командный режим
CONFIG-RADIUS-SERVER
Пример
esr(config-radius-server)# timeout 7
usage
Данная команда определяет тип соединений для аутентификации которых будет использоваться RADIUS-сервера.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
usage { all | aaa | auth | acct | pptp | l2tp }
no usage
Параметры
all – все типы соединений;
aaa – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета telnet-, ssh-, console-сессий;
auth – RADIUS-сервер будет использоваться для аутентификации и авторизации telnet-, ssh-, console-сессий;
acct – RADIUS-сервер будет использоваться для учета telnet-, ssh-, console-сессий;
pptp – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета удаленных пользователей, подключающихся по протоколу PPTP;
l2tp – RADIUS-сервер будет использоваться для аутентификации, авторизации и учета удаленных пользователей, подключающихся по протоколу L2TP over IPsec.
Значение по умолчанию
all
Необходимый уровень привилегий
15
Командный режим
CONFIG-RADIUS-SERVER
Пример
esr(config-radius-server)# usage pptp
username
Данной командой выполняется добавление пользователя в локальную базу пользователей и осуществляется переход в режим настройки параметров пользователя.
Использование отрицательной формы команды (no) удаляет пользователя из системы.
Синтаксис
[no] username <NAME>
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все пользователи.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# username test esr(config-user)#