Данной командой конфигурируется список способов учета команд, введенных в CLI.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
aaa accounting commands stop-only <METHOD>
no aaa accounting commands stop-only
<METHOD> — способы учета:
Учёт не ведется.
15
CONFIG
scs(config)# aaa accounting commands stop-only tacacs |
Данной командой конфигурируется список способов учета сессий пользователей. Ведение учета активируется и прекращается, когда пользователь входит и отключается от системы, что соответствует значениям «start» и «stop» в сообщениях протоколов RADIUS и TACACS.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
aaa accounting login start-stop <METHOD 1> [ <METHOD 2> ]
no aaa accounting login start-stop
<METHOD> — способы учета:
Учет сессий ведется в локальный журнал.
15
CONFIG
scs(config)# aaa accounting login start-stop tacacs |
Данной командой устанавливается максимальное количество неудачных попыток аутентификации до блокировки пользователя и время, на которое происходит блокировка.
Использование отрицательной формы команды (no), значения количества попыток и период блокировки устанавливает по умолчанию.
aaa authentication attempts max-fail <COUNT> <TIME>
no aaa authentication attempts max-fail
<COUNT> — количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535];
<TIME> — интервал времени в секундах, на который будет заблокирован пользователь, принимает значения [1..65535].
Количество неудачных попыток — 5.
Период блокировки — 300.
15
CONFIG
scs(config)# aaa authentication attempts max-fail 5 30 |
Данной командой создаются списки способов аутентификации повышения привилегий пользователей. При неудачной попытке аутентификации по одному способу происходит попытка аутентификации по следующему способу в списке.
В конфигурации по умолчанию существует список с именем «default». Список «default» содержит один способ аутентификации — «enable». Чтобы использовать список для аутентификации повышения привилегий пользователей, необходимо выполнить его привязку командой, описанной в разделе enable authentication.
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
aaa authentication enable <NAME> <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ]
no aaa authentication enable <NAME>
<NAME> — имя списка: строка до 31 символа;
<METHOD> — способы аутентификации:
15
CONFIG
scs(config)# aaa authentication enable enable-test tacacs enable |
Данной командой создаются списки способов аутентификации входа пользователей в систему. При неудачной попытке аутентификации по одному способу происходит попытка аутентификации по следующему в списке.
В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ аутентификации — «local». Чтобы использовать список для аутентификации входа пользователей, необходимо выполнить его активацию командой, описанной в разделе login authentication.
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
aaa authentication login { default | <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ]no aaa authentication login { default | <NAME> } <NAME> — имя списка, задаётся строкой до 31 символа.
15
CONFIG
scs(config)# aaa authentication login login-test tacacs local |
Данной командой определяется режим работы со списками методов аутентификации.
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
[no] aaa authentication mode { break | chain }break — при аутентификации будут использоваться последующие методы в случае недоступности более приоритетного;
chain — при аутентификации будут использоваться последующие методы в случае получения отказа от более приоритетного.
chain
15
CONFIG
scs(config)# aaa authentication mode break |
Данной командой создаются списки способов авторизации команд, вводимых пользователем в систему. При неудачной попытке авторизации по одному способу происходит попытка аутентификации по следующему способу в списке.
В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ авторизации — «local». Чтобы использовать список для авторизации команд вводимых пользователем в систему, необходимо выполнить его активацию командой, описанной в разделе commands authorization.
Использование отрицательной формы команды (no) удаляет список способов авторизации.
aaa authorization commands { default | <NAME> } <METHOD 1> [ <METHOD 2> ]no aaa authorization commands { default | <NAME> } <NAME> — имя списка, задается строкой до 31 символа.
15
CONFIG
scs(config)# aaa authorization commands |
Данной командой включается авторизация контрольных команд (help, logout, end, exit) на TACACS-сервере. В конфигурации по умолчанию эта функция отключена.
Использование отрицательной формы команды (no) возвращает состояние к дефолтному.
[ no ] aaa authorization control-commands enable
no aaa authorization control-commands enable
15
CONFIG
scs(config)# aaa authorization control-commands enable |
Данной командой определяется режим работы со списками методов авторизации.
Использование отрицательной формы команды (no) удаляет список способов авторизации.
[no] aaa authorization mode { break | chain }break — при аутентификации будут использоваться последующие методы в случае недоступности более приоритетного;
chain — при аутентификации будут использоваться последующие методы в случае получения отказа от более приоритетного.
chain
15
CONFIG
scs(config)# aaa authorization mode break |
Данной командой устанавливается уровень привилегий, назначаемых пользователям, авторизованным через ААА-сервера, но не получившим от них уровень привилегий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
aaa authorization remote user privilege <PRIV>
no aaa authorization remote user privilege
<PRIV> — необходимый уровень привилегий, принимает значение [1..15].
1
15
CONFIG
scs(config)# aaa authorization remote user privilege 15 |
Данной командой отключает доступ на терминальный сервер через консольный интерфейс.
При использовании отрицательной формы команды (no) доступ на консольный сервер через консольный интерфейс включается.
[no] aaa disable
Команда не содержит параметров.
Доступ на консольный сервер через консольный интерфейс включен.
10
CONFIG-LINE-CONSOLE
scs(config-line-console)# aaa disable |
Данной командой задается номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аккаунтинга.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
acct-port <PORT>
no acct-port
<PORT> — номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
1813
15
CONFIG-RADIUS-SERVER
scs(config-radius-server)# acct-port 4444 |
Данной командой включается возможность авторизации для предустановленного пользователя "admin".
Использование отрицательной формы команды (no) отключает возможность авторизации пользователя "admin".
[no] admin login enable
Команда не содержит параметров.
Команда присутвует в конфигурации по умолчанию, для пользователя "admin" разрешена авторизация.
15
CONFIG
scs(config)# no admin login enable |
Данной командой задается номер порта для обмена данными c удаленным RADIUS-сервером при выполнении аутентификации и авторизации.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
auth-port <PORT>
no auth-port
<PORT> — номер UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
1812
15
CONFIG-RADIUS-SERVER
scs(config-radius-server)# auth-port 4444 |
Данной командой удаляется информация о неправильных попытках аутентификации различных пользователей.
clear users blocked <NAME>
<NAME> — имя пользователя, для которого необходимо очистить статистику неправильных попытках аутентификации, задается строкой до 31 символа.
Без указания имени пользователя очищается вся таблица неправильных попыток аутентификации.
15
ROOT
scs# clear users blocked |
Данной командой закрывается рабочая сессия пользователя CLI.
clear user-session [ <USERNAME> | <SESSION> ]
<NAME> — имя пользователя сессию которого необходимо закрыть, задается строкой до 31 символа;
<SESSION> — номер терминальной сессии которую необходимо закрыть, задается число в диапазоне [1..10];
Без указания параметров — будут закрыты все активные сессии.
15
ROOT
scs# clear users-session |
Данной командой осуществляется активация списка авторизации команд вводимых пользователем в систему.
В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ авторизации — «local».
Использование отрицательной формы команды (no) делает список с именем «default» активным.
commands authorization <NAME>
no commands authorization
<NAME> — имя списка, задается строкой до 31 символа.
default
15
CONFIG-LINE-CONSOLE
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
scs(config-line-ssh)# commands authorization authorization-test |
Данной командой задаётся интервал, в течение которого на RADIUS-сервер не будут отправляться пакеты. В данное состояние RADIUS-сервер переводится по истечении таймаута ожидания ответа на запрос последнего допустимого повтора (см. раздел radius-server retransmit).
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
dead-interval <SEC>
no dead-interval
<SEC> — период времени в секундах, принимает значения [0..3600].
120
10
CONFIG-RADIUS-SERVER
scs(config-radius-server)# dead-interval 600 |
Команда используется для изменения описания профиля серверов динамической авторизации (DAS) или профиля RADIUS-серверов.
Использование отрицательной формы команды (no) удаляет описание профиля.
description <DESCRIPTION>
no description
<DESCRIPTION> — описание профиля, задается строкой до 255 символов.
10
CONFIG-RADIUS-SERVER-PROFILE
Установить описание для профиля IP-адресов:
scs(config-aaa-das-profile)# description "Main profile" |
Команда используется для изменения описания конфигурируемого AAA-сервера (RADIUS, TACACS).
Использование отрицательной формы команды (no) удаляет описание AAA-сервера.
description <DESCRIPTION>
no description
<DESCRIPTION> — описание AAA-сервера, задается строкой до 255 символов.
10
CONFIG-RADIUS-SERVER
CONFIG-TACACS-SERVER
Установить описание для AAA-сервера:
scs(config-radius-server)# description "Main server" |
Данной командой производится понижение уровня привилегий пользователя до первоначальных.
disable
Команда не содержит параметров.
2
ROOT
scs# disable scs> |
Данной командой производится повышение уровня привилегий пользователя. Способы аутентификации повышения привилегий пользователей задаются с помощью команды, описанной в разделе aaa authentication attempts max-fail.
По умолчанию в конфигурации установлен метод аутентификации по паролю «enable». При этом пароли не заданы, то есть любой системный пользователь может получить 15 необходимый уровень привилегий. |
Для аутентификации повышения привилегий по протоколам TACACS/RADIUS на сервере должны быть созданы пользователи $enab<PRIV>$, где <PRIV> — необходимый уровень привилегий пользователя, который должен быть аутентифицирован. |
enable [ <PRIV> ]
<PRIV> — необходимый уровень привилегий, принимает значение [2..15].
15
1
ROOT
scs> enable 10 scs# |
Данной командой осуществляется активация списка аутентификации повышения привилегий пользователей, который будет использоваться в конфигурируемом терминале.
В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации — «enable».
Использование отрицательной формы команды (no) делает список с именем «default» активным.
enable authentication <NAME>
no enable authentication
<NAME> — имя списка, задается строкой до 31 символа.
default
15
CONFIG-LINE-CONSOLE
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
scs(config-line-console)# enable authentication enable-test |
Данной командой устанавливается пароль, который будет запрашиваться при повышении уровня привилегий пользователя.
По умолчанию в конфигурации пароли не заданы, то есть любой системный пользователь может получить 15 необходимый уровень привилегий. |
Использование отрицательной формы команды (no) удаляет пароль из системы.
enable password { <CLEAR-TEXT> | encrypted <HASH_SHA512> } [ privilege <PRIV> ]no enable password [ privilege <PRIV> ]
<CLEAR-TEXT> — пароль, задается строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];
<HASH_SHA512> — хеш пароля по алгоритму sha512, задается строкой из 110 символов;
<PRIV> — необходимый уровень привилегий, принимает значение [2..15], значение по умолчанию 15.
15
CONFIG
scs(config)# enable password 12345678 privilege 10 |
Данной командой задается интервал, по истечении которого будет разрываться бездействующая сессия.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
exec-timeout <SEC>
no exec-timeout
<SEC> — период времени в минутах, принимает значения [1..65535].
30 минут
15
CONFIG-LINE-CONSOLE
CONFIG-LINE-SSH
CONFIG-LINE-TELNET
CONFIG-LINE-AUX
scs(config-line-ssh)# exec-timeout 600 |
Данной командой задаётся пароль для аутентификации на удаленном сервере.
Использование отрицательной формы команды (no) удаляет заданный пароль для аутентификации на удаленном сервере.
key ascii-text { <TEXT> | encrypted <ENCRYPTED-TEXT> }no key
<TEXT> — строка [8..16] ASCII-символов (для TACACS-сервера — [1..16] ASCII-символов);
<ENCRYPTED-TEXT> — зашифрованный пароль, размером [8..16] байт, задается строкой [16..32] символов (для TACACS-сервера — до 120 символов).
15
CONFIG-TACACS-SERVER
CONFIG-RADIUS-SERVER
scs(config-tacacs-server)# key ascii-text 12345678 |
Данной командой осуществляется переход в режим конфигурирования соответствующего терминала: локальная консоль, удаленная консоль (Telnet), удаленная защищенная консоль (SSH), последовательный порт (AUX).
Использование отрицательной формы команды (no) устанавливает параметры терминала по умолчанию. Параметры по умолчанию описаны в разделах login authentication и enable authentication.
[no] line <TYPE>
<TYPE> — тип консоли:
15
CONFIG
scs(config)# line console scs(config-line-console)# |
Данной командой осуществляется активация списка аутентификации входа пользователей в систему, который будет использоваться в конфигурируемом терминале.
В конфигурации по умолчанию активным является список с именем «default», данный список содержит один способ аутентификации — «local».
Использование отрицательной формы команды (no) делает список с именем «default» активным.
login authentication <NAME>
no login authentication
<NAME> — имя списка, задается строкой до 31 символа.
default
15
CONFIG-LINE-CONSOLE
CONFIG-LINE-TELNET
CONFIG-LINE-SSH
CONFIG-LINE-AUX
scs(config-line-console)# login authentication login-test |
Данной командой задается режим работы локальной учетной записи.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
mode <MODE>
no mode
<MODE> — режим работы локальной учетной записи, принимает следующие значения:
cli
15
CONFIG-USER
scs(config-user)# mode cli |
Команда для установки пароля определенному пользователю для входа в систему. Пароль может быть задан как в открытом виде, так и в виде хеш sha512.
Использование отрицательной формы команды (no) удаляет пароль пользователя из системы.
password { <CLEAR-TEXT> | encrypted <HASH_SHA512> }no password
<CLEAR-TEXT> — пароль, задается строкой [1 .. 32] символов, принимает значения [0-9a-fA-F];
<HASH_SHA512> — хеш пароля по алгоритму sha512, задается строкой из 110 символов.
15
CONFIG-USER
CHANGE-EXPIRED-PASSWORD
scs(config-user) password test |
Данной командой задаётся номер порта для обмена данными c удаленным сервером.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
port <PORT>
no port
<PORT> — номер TCP/UDP-порта для обмена данными c удаленным сервером, принимает значения [1..65535].
49 — для TACACS-сервера;
15
CONFIG-TACACS-SERVER
scs(config-tacacs-server)# port 4444 |
Данной командой задаётся приоритет использования удаленного сервера. Чем ниже значение, тем приоритетнее сервер.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
priority <PRIORITY>
no priority
<PRIORITY> — приоритет использования удаленного сервера, принимает значения [1..65535].
1
15
CONFIG-TACACS-SERVER
CONFIG-RADIUS-SERVER
scs(config-tacacs-server)# priority 5 |
Данной командой производится установка уровня привилегий пользователя. Набор команд, который доступен пользователю, зависит от уровня привилегий. Пользователям с уровнями привилегий от 1 до 9 доступен только просмотр информации. Пользователям с уровнем привилегий от 10 до 15 доступна большая часть команд конфигурирования. Пользователям с уровнем привилегий 15 доступен полный набор команд. Требуемый необходимый уровень привилегий команд может быть изменен, описание в разделе description.
Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.
Назначение начального уровня привилегий пользователям происходит следующим образом:
Если при аутентификации пользователя через протоколы TACACS/RADIUS не была получена вышеуказанная опция или была получена опция с некорректным значением, то пользователю будут назначены привилегии пользователя «remote», по умолчанию 1. Необходимый уровень привилегий пользователя «remote» можно изменить аналогично любому другому пользователю из локальной базы с помощью указанной команды.
privilege <PRIV>
no privilege
<PRIV> — необходимый уровень привилегий, принимает значение [1..15].
1
15
CONFIG-USER
scs(config-user)# privilege 15 |
Данной командой производится установка минимального уровня привилегий пользователя, необходимого для выполнения команды из указанного поддерева команд.
Использование отрицательной формы команды (no) устанавливает необходимый уровень привилегий по умолчанию.
privilege <COMMAND-MODE> level <PRIV> <COMMAND>
no privilege <COMMAND-MODE> <COMMAND>
<COMMAND-MODE> — командный режим, может принимать значения:
<PRIV> — необходимый уровень привилегий, принимает значение [1..15];
<COMMAND> — поддерево команд, задается строкой до 255 символов.
15
CONFIG
Установить для поддерева команд «show» корневого командного режима необходимый уровень привилегий 2. Команды поддерева «show interfaces» оставить с уровнем привилегий 1.
scs(config)# privilege root level 2 "show" scs(config)# privilege root level 1 "show interfaces" |
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов RADIUS-сервера.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
radius-server dscp <DSCP>
no radius-server dscp
<DSCP> — значение кода DSCP, принимает значения в диапазоне [0..63].
63
10
CONFIG
scs(config)# radius-server dscp 40 |
Данная команда используется для добавления RADIUS-сервера в список используемых серверов и перехода в командный режим RADIUS SERVER.
Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер.
[no] radius-server host { <ADDR> | <IPV6-ADDR> }<ADDR> — IP-адрес RADIUS-сервера, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> — IPv6-адрес RADIUS-сервера, задается в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
15
CONFIG
scs(config)# radius-server host 10.100.100.1 |
Данная команда используется для добавления RADIUS-сервера в профиль RADIUS-серверов.
Использование отрицательной формы команды (no) удаляет заданный RADIUS-сервер из профиля.
[no] radius-server host { <ADDR> | <IPV6-ADDR> }<ADDR> — IP-адрес RADIUS-сервера, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> — IPv6-адрес RADIUS-сервера, задается в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
15
CONFIG-RADIUS-SERVER-PROFILE
scs(config-aaa-radius-profile)# radius-server host 10.100.100.1 |
Данной командой задаётся количество перезапросов к последнему активному RADIUS-серверу, которое будет выполнено перед выполнением запросов к следующим RADIUS-серверам в списке.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
radius-server retransmit <COUNT>
no radius-server retransmit
<COUNT> — количество перезапросов к RADIUS-серверу, принимает значения [1..10].
1
15
CONFIG
scs(config)# radius-server retransmit 5 |
Данной командой задается интервал, по истечении которого устройство считает, что RADIUS-сервер недоступен.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
radius-server timeout <SEC>
no radius-server timeout
<SEC> — период времени в секундах, принимает значения [1..30].
3 секунды
10
CONFIG
scs(config)# radius-server timeout 5 |
Данной командой задаётся количество перезапросов к RADIUS-серверу, которое будет выполнено перед выполнением запросов к следующим RADIUS-серверам в списке.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
retransmit <COUNT>
no retransmit
<COUNT> — количество перезапросов к RADIUS-серверу, принимает значения [1..10].
Не задан, используется значение глобального параметра, описанного в разделе radius-server retransmit.
15
CONFIG-RADIUS-SERVER
scs(config)# retransmit 5 |
Данной командой включается запрос на смену пароля по умолчанию для пользователя admin.
Использование отрицательной формы команды (no) отключает запрос на смену пароля по умолчанию.
[no] security passwords default-expired
Команда не содержит параметров.
Запрос на смену пароля по умолчанию отключен.
15
CONFIG
scs(config)# security passwords default-expired |
Данной командой включается режим запрета на использование ранее установленных паролей локальных пользователей. В качестве параметра указывается количество паролей, сохраняемых в памяти терминального сервера.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords history <COUNT>
no security passwords history
<COUNT> — количество паролей, сохраняемых в памяти консольного сервера [0..15]. При уменьшении данного значения лишние, более старые пароли удаляются.
1
15
CONFIG
scs(config)# security passwords history 5 |
Данной командой устанавливается время действия пароля локального пользователя. При попытке подключения пользователя с истекшим паролем пользователь будет направлен в режим принудительной смены пароля.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords lifetime <TIME>
no security passwords lifetime
<TIME> — интервал времени действия пароля в днях, принимает значения [1..365].
Время действия пароля локального пользователя не ограничено.
15
CONFIG
scs(config)# security passwords lifetime 30 |
Данной командой устанавливается минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords lower-case <COUNT>
no security passwords lower-case
<COUNT> — минимальное количество строчных букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
0
15
CONFIG
scs(config)# security passwords lower-case 2 |
Данной командой устанавливается ограничение на максимальную длину пароля локального пользователя и ENABLE-пароля.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords max-length <NUM>
no security passwords max-length
<NUM> — максимальное количество символов в пароле, задается в диапазоне [1..32].
32
15
CONFIG
scs(config)# security passwords max-length 30 |
Данной командой устанавливается ограничение на минимальную длину пароля локального пользователя и ENABLE-пароля.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords min-length <NUM>
no security passwords min-length
<NUM> — минимальное количество символов в пароле, задается в диапазоне [1..32].
1
15
CONFIG
scs(config)# security passwords min-length 10 |
Данной командой устанавливается минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords numeric-count <COUNT>
no security passwords numeric-count
<COUNT> — минимальное количество цифр в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
0
15
CONFIG
scs(config)# security passwords numeric-count 2 |
Данной командой устанавливается минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords special-case <COUNT>
no security passwords special-case
<COUNT> — минимальное количество специальных символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
0
15
CONFIG
scs(config)# security passwords special-case 2 |
Данной командой устанавливается минимальное количество типов символов, которые должны присутствовать в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords symbol-types <COUNT>
no security passwords symbol-types
<COUNT> — минимальное количество типов символов в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [1..4].
1
15
CONFIG
scs(config)# security passwords symbol-types 2 |
Данной командой устанавливается минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords upper-case <COUNT>
no security passwords upper-case
<COUNT> — минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2 c комьюнити [0..32].
0
15
CONFIG
scs(config)# security passwords upper-case 2 |
Данной командой устанавливается ограничение на максимальную длину SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security snmp-community max-length <NUM>
no security snmp-community max-length
<NUM> — максимальное количество символов в комьюнити, задается в диапазоне [1..128].
128
15
CONFIG
scs(config)# security snmp-community max-length 30 |
Данной командой устанавливается ограничение на минимальную длину SMNPv1/SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
security passwords min-length <NUM>
no security passwords min-length
<NUM> — минимальное количество символов в комьюнити, задается в диапазоне [1..128].
1
15
CONFIG
scs(config)# security snmp-community min-length 10 |
Данная команда позволяет просмотреть настроенные параметры учета.
show aaa accounting
Команда не содержит параметров.
10
ROOT
scs# show aaa accounting Login : radius Commands : tacacs |
Данная команда позволяет просмотреть списки способов аутентификации пользователей, а также активные списки каждого типа терминалов.
show aaa authentication
Команда не содержит параметров.
10
ROOT
scs# show aaa authentication Login Authentication Method Lists ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ List Methods ---------------- -------------------------------- default local Enable Authentication Method Lists ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ List Methods ---------------- -------------------------------- default enable Lines configuration ~~~~~~~~~~~~~~~~~~~ Line Login method list Enable method list --------- -------------------------------- -------------------------------- console default default telnet default default ssh default default |
Данная команда позволяет просмотреть параметры RADIUS-серверов.
show aaa radius-servers
Команда не содержит параметров.
15
ROOT
scs# show aaa radius-servers Timeout: 3 Retransmit: 1 DSCP: 63 IP Addres Timeout Priority Usage Key ------------ ---------- ---------- ---------- --------------------------- 2.2.2.2 -- 1 all 9DA7076CA30B5FFE0DC9C4 2.4.4.4 -- 1 all 9DA7076BA30B4EFCE5 |
Данная команда позволяет просмотреть параметры TACACS-серверов.
show aaa tacacs-servers
Команда не содержит параметров.
15
ROOT
scs# show aaa tacacs-servers Timeout : 3 DSCP: 63 IP Address Port Priority Key ---------------------- ------------ ------------ -------------------------------- 10.100.100.1 49 1 CDE65039E5591FA3 10.100.100.5 49 10 CDE65039E5591FA3 |
Данная команда позволяет просмотреть активные сессии пользователей системы.
show users
Команда не содержит параметров.
1
ROOT
scs# show users SID User name Logged in at Protocol Host Timers Login/Priv Level ---- -------------------- ----------------- ----------------- -------------------- ----------------- ----- 0 * admin 2023-06-26 15:47:38 SSH 192.168.1.44 00:29:59/00:00:00 15 1 admin 2023-06-26 15:47:38 Telnet 192.168.1.44 00:25:08/00:00:00 15 2 admin 2023-06-26 15:47:38 Console Console 00:29:56/00:00:00 15 |
Данная команда позволяет просмотреть конфигурацию пользователей системы.
show users accounts
Команда не содержит параметров.
10
ROOT
scs# show user accounts
Name Password Privilege
-------------------------------- -------------------------------- ---------
admin $6$1sxrvGaV8Za8oX/K$YNel5xYPZ4cj 15
bemYWYNpQBQKDxWE9v0aoKgQ
kRCEb0EMNuusO9Kmg7UBs7nA3buEM87e
Eu.rA6tZq0
techsupport $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV 15
9jHcp. 9lweQaSldw7ZtUr
uH66uZx9.EBASff//hUj8ObUaC484TNR
x.
remote $6$YfwntIwU$ah7UxPZTemKhjpSWvVsV 1
9jHcp.kqFAK.vmvyY9lweQaSldw7ZtUr
uH66uZx9.EBASff//hUj8ObUaC484TNR
x.
operator $6$eILpbbyRxedCzvVD$4RHP08mjXvNf 1
urX7V/ULCZ1oHIWMwE6h5f
zgwZQUZcPoZCEyaqQQqCicRMRuPwhxrQ
bvGChWreW1 |
Данная команда позволяет просматривать список пользователей, для которых был введен неправильный пароль. Пользователь удаляется из списка после ввода правильного пароля при аутентификации.
show users blocked [ <NAME> ]
<NAME> — имя пользователя, для которого необходимо отобразить статистику неправильных попыток аутентификации, задается строкой до 31 символа.
Без указания имени пользователя отображается вся таблица неправильных попыток аутентификации.
1
ROOT
scs# show users blocked User name Failures Latest failure From -------------------- -------- ------------------- ---------------- tester 4 2017-09-10 08:29:42 0.0.0.0 |
Данной командой определяется IPv4/IPv6-адрес консольного сервера, который будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых пакетах на конфигурируемый AAA-сервер.
Использование отрицательной формы команды (no) удаляет указанный IPv4/IPv6-адрес источника.
source-address { <ADDR> | <IPV6-ADDR> | object-group <NETWORK_OBJ_GROUP_NAME> }no source-address
<ADDR> — IP-адрес источника, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<IPV6-ADDR> — IPv6-адрес источника, задается в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
<NETWORK_OBJ_GROUP_NAME> — список адресов, которые будут использоваться в качестве source address.
15
CONFIG-RADIUS-SERVER
CONFIG-TACACS-SERVER
scs(config-radius-server)# source-address 220::71 |
Данной командой определяется интерфейс на консольном сервере, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых пакетах на конфигурируемый AAA-сервер.
Использование отрицательной формы команды (no) удаляет указанный интерфейс или туннель.
source-interface <IF>
no source-interface
<IF> — имя интерфейса устройства, задается в виде, описанном в разделе Типы и порядок именования интерфейсов консольного сервера;
15
CONFIG-RADIUS-SERVER
CONFIG-TACACS-SERVER
scs(config-radius-server)# source-interface gigabitethernet 1/0/1 |
Данной командой включается ограничение количества сессий CLI до одной.
Использование отрицательной формы команды (no) устанавливается значение по умолчанию.
[no] system configuration-exclusively
Команда не содержит параметров.
Отключено.
15
CONFIG
scs(config)# system configuration-exclusively |
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов TACACS-сервера.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
tacacs-server dscp <DSCP>
no tacacs-server dscp
<DSCP> — значение кода DSCP, принимает значения в диапазоне [0..63].
63
10
CONFIG
scs(config)# tacacs-server dscp 40 |
Данная команда используется для добавления TACACS-сервера в список используемых серверов и перехода в командный режим TACACS SERVER.
Использование отрицательной формы команды (no) удаляет заданный TACACS-сервер.
[no] tacacs-server host { <ADDR> | <IPV6-ADDR> }<ADDR> — IP-адрес TACACS-сервера, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
<IPV6-ADDR> — IPv6-адрес TACACS-сервера, задается в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
15
CONFIG
scs(config)# tacacs-server host 10.100.100.1 scs(config-tacacs-server)# |
Данной командой задается интервал, по истечении которого устройство считает, что TACACS-сервер недоступен.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
tacacs-server timeout <SEC>
no tacacs-server timeout
<SEC> — период времени в секундах, принимает значения [1..30].
3 секунды.
10
CONFIG
scs(config)# tacacs-server timeout 5 |
Данной командой задается интервал, по истечении которого устройство считает, что RADIUS-сервер недоступен.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
timeout <SEC>
no timeout
<SEC> — период времени в секундах, принимает значения [1..30].
Не задан, используется значение глобального таймера, описанного в разделе radius-server timeout.
10
CONFIG-RADIUS-SERVER
scs(config-radius-server)# timeout 7 |
Данная команда определяет тип соединений для аутентификации которых будет использоваться RADIUS-сервера.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
usage { all | aaa | auth | acct }no usage
all — все типы соединений;
aaa — RADIUS-сервер будет использоваться для аутентификации, авторизации и учета telnet-, ssh-, console-сессий;
auth — RADIUS-сервер будет использоваться для аутентификации и авторизации telnet-, ssh-, console-сессий;
acct — RADIUS-сервер будет использоваться для учета telnet-, ssh-, console-сессий;
all
15
CONFIG-RADIUS-SERVER
scs(config-radius-server)# usage aaa |
Данной командой выполняется добавление пользователя в локальную базу пользователей и осуществляется переход в режим настройки параметров пользователя.
Использование отрицательной формы команды (no) удаляет пользователя из системы.
[no] username <NAME>
<NAME> — имя пользователя, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все пользователи.
15
CONFIG
scs(config)# username test scs(config-user)# |