Смена паролей; команды, влияющие на авторизацию |
Написал microsin | |
29.12.2005 | |
Сначала определение некоторых терминов. enable secret - пароль на вход в режим enable (привилегированный режим), который хранится в маршрутизаторе в зашифрованном виде. enable password - то же самое, но хранится в незашифрованном виде. virtual terminal password - пароль виртуального терминала, или пароль Telnet. Если он задан, то любой пользователь, который попытается получить доступ к маршрутизатору по протоколу Telnet, должен будет ввести этот пароль. Теперь об основных операциях с пользователями и авторизацией. !удаляет учётную запись oldusername no username oldusername !создаёт новую учётную запись username ciadmin privilege 15 secret NEWPASSWORD !меняет пароль для существующей учетной записи, причем уровень privilege сохраняется старым username ciadmin secret NEWPASSWORD !меняет пароль режима enable. Вместо enable secret можно указать enable password, что то же самое, ! но пароль хранится в незашифрованном виде enable secret NEWPASSWORDSECRET !эти две строчки включают авторизацию по логину и паролю перед вводом пароля enable !вторая строка включает метод аутентификации local, использующий базу данных aaa aaa new-model//разрешает модель контроля доступа aaa aaa authentication login default local !следующая команда дает возможность сразу после логина через сеть войти в привилегированный режим, ! не вводя команду enable (как-то непонятно написано в руководстве - "запускает авторизацию, чтобы определить, ! разрешено ли пользователю запускать шелл EXEC") aaa authorization exec default local Когда в конфигурации указаны эти три строки (aaa new-model, aaa authentication login default local, aaa authorization exec default local), то для входа в режим enable через сетевое соединение будет предложен только логин и пароль пользователя (нужно ввести логин и пароль пользователя с уровнем привилегий 15), если законнектиться через консольный порт (RS232), то дополнительно нужно ввести еще ключевое слово enable и пароль enable secret. Если же 3 эти строки не указаны, то для входа в привилегированный режим через консоль достаточно ввести только логин и пароль пользователя с уровнем 15. !здесь меняется пароль на vpn-клиент (группа vpnaccess) tunnel-group vpnaccess ipsec-attributes pre-shared-key * Команда, которая показывает пароли enable в конфиге в (открытом)закрытом виде (no) service password-encryption Смена пароля пользователя на ASA через Cisco ASDM 5.1 - Configuration->Properties->Device Administration->User Accounts, выбираем пользователя, нажимаем кнопку Edit. |
|
Последнее обновление ( 19.10.2007 ) |