user and access

определение терминов.
enable secret — пароль на вход в режим enable (привилегированный режим), который хранится в маршрутизаторе в зашифрованном виде.
enable password — то же самое, но хранится в незашифрованном виде.
virtual terminal password — пароль виртуального терминала, или пароль Telnet. Если он задан, то любой пользователь, который попытается получить доступ к маршрутизатору по протоколу Telnet, должен будет ввести этот пароль.

операции с пользователями и авторизацией.

удаляет учётную запись user
no username user


создаём новую учётку
username cadmin privilege 15 secret NEWPWD


меняет пароль для существующего пользователя, причем уровень privilege сохраняется старым
username cdmin secret NEWPWD


меняет пароль режима enable. вместо enable secret можно указать enable password, что то же самое,
но пароль хранится в незашифрованном виде
enable secret NEWPWDSECRET


эти две строчки включают авторизацию по логину и паролю перед вводом пароля enable, вторая строка включает метод аутентификации local, использующий базу данных aaa
aaa new-model//разрешает модель контроля доступа aaa
aaa authentication login default local


привилегированный режим, не вводя команду enable (как-то непонятно написано в руководстве — «запускает авторизацию, чтобы определить, разрешено ли пользователю запускать шелл EXEC»)
aaa authorization exec default local


когда в конфигурации указаны эти три строки
aaa new-model,
— aaa authentication login default local,
— aaa authorization exec default local


то для входа в режим enable через сетевое соединение будет предложен только логин и пароль пользователя
(нужно ввести логин и пароль пользователя с уровнем привилегий 15),
если законнектиться через консольный порт (RS232),
то дополнительно нужно ввести еще ключевое слово enable и пароль enable secret.
Если же 3 эти строки не указаны, то для входа в привилегированный режим через консоль достаточно ввести только логин и
пароль пользователя с уровнем 15.

здесь меняется пароль на vpn-клиент (группа vpnaccess)
tunnel-group vpnaccess ipsec-attributes
  pre-shared-key *


показывает пароли enable в конфиге в открытом/закрытом виде
(no) service password-encryption


Смена пароля пользователя на ASA через Cisco ASDM 5.1 —
Configuration->Properties->Device Administration->User Accounts, выбираем пользователя, нажимаем кнопку Edit.

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.