(K) Konfiguracja konta lokalnego*

Konfiguracja konta lokalnego

Konfiguracja bazy lokalnej

(config)# aaa new-model

Włącza system lokalnego zarządzania użytkownikami, w systemie IOS (dla wszystkich linii).

(config)# aaa authentication login default local

Umożliwia autentykację użytkowników za pomocą lokalnej bazy danych.

(config)# aaa authorization exec default local

Umożliwia autoryzację użytkowników za pomocą lokalnej bazy danych.

(config)# username nazwa-użytkownika privilege 0-15 {secret / algorithm-type sha-256 secret / algorithm-type scrypt secret} hasło

Dodaje nowego użytkownika wraz z szyfrowanym hasłem (Istnieją trzy wersja algorytmu szyfrującego).

(config)# line [vty 0 15 / consol 0]

Przechodzi do poziomu konfiguracji linii konsoli / VTY.

(config-line)# login authentication default

Umożliwia logowanie do systemu IOS z włączonym protokołem AAA.

Opcjonalna konfiguracja bazy lokalnej

Zarządzanie komendami (Accounting)

(config)# privilege exec level 0-15 komenda-CLI-privilege

Pozwala użytkownikowi posiadającemu dany poziom dostępu, na używanie podanej komendy w trybie uprzywilejowanym „#”.

(config)# privilege configure level 0-15 komenda-CLI-configure

Pozwala użytkownikowi posiadającemu dany poziom dostępu, na używanie podanej komendy w trybie konfiguracji terminala „(config)#”.

Zdefiniowanie zasad bezpieczeństwa dotyczących hasła i metody uwierzytelniania hasłem

(config)# security passwords min-length 0-16

Określa minimalną długość hasła.

(config)# login on-success [log / trap] [etery 1-65535]

Umożliwia monitorowanie procesu logowania do systemu ISO, informując o pozytywnym jego zakończeniu. Komenda „log” zapisuje w pamięci urządzenia oraz wyświetla w konsoli potwierdzenie o zalogowaniu się użytkownika, „trap” generuje wiadomość protokołu SNMP a „etery” określa częstotliwość w wysyłaniu powiadomień.

(config)# login on-failure [log / trap] [etery 1-65535]

Umożliwia monitorowanie procesu logowania do systemu ISO, informując o negatywnym jego zakończeniu. Komenda „log” zapisuje w pamięci urządzenia oraz wyświetla w konsoli potwierdzenie o niezalogowaniu się użytkownika, „trap” generuje wiadomość protokołu SNMP a „etery” określa częstotliwość w wysyłaniu powiadomień.

(config)# login delay 1-10

Ustala czas opóźnienia pomiędzy kolejnymi próbami logowania w sekundach.

(config)# login block-for 1-65535 attempts 1-65535 within 1-65535

Definiuje trzy wartości zabezpieczające przed próbą złamania hasła: Czas blokady w sekundach, ilość prób logowania oraz Czas logowania w sekundach. Przykładowa komenda wygląda następująco [login block-for 180 attempts 3 within 120] a oznacza, że jeśli w ciągu 120 sekund użytkownik poda 3 razy błędne hasło, konsola zostanie zablokowana na 180 sekund.

Logowanie do systemu z automatycznym użyciem komendy

(config)# username nazwa-użytkownika nopassword

Tworzy nowego użytkownika bez hasła.

(config)# username nazwa-użytkownika autocommand komenda-CLI

Umożliwia automatyczne wykonanie określonej komendy CLI, zaraz po zalogowaniu danego użytkownika do systemu IOS.

(config)# line [vty 0 15 / consol 0]

Przechodzi do poziomu konfiguracji linii konsoli / VTY.

(config-line)# autocommand komenda-CLI

Umożliwia automatyczne wykonanie komendy po zalogowaniu do systemu.

(config-line)# autocommand-options delay 0-120

Dodaje opóźnienie w wykonaniu komendy.

Komendy Show

# show users

Wyświetla użytkowników zalogowanych do systemu IOS.

# show terminal

Wyświetla ustawienia konsoli.

# show privilege

Wyświetla obecny poziom dostępu zalogowanego użytkownika.

# show login

Wyświetla informacje o ustawieniach zasad bezpiecznego uwierzytelniania użytkowników [Block-for,ACL].

Pozostałe tematy związane z protokołem AAA

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz