Смена паролей; команды, влияющие на авторизацию |
![]() |
Добавил(а) microsin |
Сначала нужно разъяснить значение некоторых терминов. enable secret - пароль на вход в режим enable (привилегированный режим), который хранится в маршрутизаторе в зашифрованном виде. enable password - то же самое, но хранится в незашифрованном виде. virtual terminal password - пароль виртуального терминала, или пароль Telnet. Если он задан, то любой пользователь, который попытается получить доступ к маршрутизатору по протоколу Telnet, должен будет ввести этот пароль. Теперь об основных операциях с пользователями и авторизацией. Команда удаляет учётную запись oldusername: no username oldusername Команда создаёт новую учётную запись: username ciadmin privilege 15 secret NEWPASSWORD Команда меняет пароль для существующей учетной записи, причем уровень privilege сохраняется старым: username ciadmin secret NEWPASSWORD Следующая команда меняет пароль режима enable. Вместо enable secret можно указать enable password, что то же самое, но пароль хранится в незашифрованном виде: enable secret NEWPASSWORDSECRET Следующие две строчки включают авторизацию по логину и паролю перед вводом пароля enable. Вторая строка включает метод аутентификации local, использующий базу данных aaa. aaa new-model//разрешает модель контроля доступа aaa aaa authentication login default local Следующая команда дает возможность сразу после логина через сеть войти в привилегированный режим, не вводя команду enable (как-то непонятно написано в руководстве - "запускает авторизацию, чтобы определить, разрешено ли пользователю запускать шелл EXEC"). aaa authorization exec default local Когда в конфигурации указаны эти три строки (aaa new-model, aaa authentication login default local, aaa authorization exec default local), то для входа в режим enable через сетевое соединение будет предложен только логин и пароль пользователя (нужно ввести логин и пароль пользователя с уровнем привилегий 15), если законнектиться через консольный порт (RS232), то дополнительно нужно ввести еще ключевое слово enable и пароль enable secret. Если же 3 эти строки не указаны, то для входа в привилегированный режим через консоль достаточно ввести только логин и пароль пользователя с уровнем 15. Здесь меняется пароль на vpn-клиент (группа vpnaccess): tunnel-group vpnaccess ipsec-attributes pre-shared-key * Команда, которая показывает пароли enable в конфиге в (открытом)закрытом виде: (no) service password-encryption Смена пароля пользователя на ASA через Cisco ASDM 5.1: Configuration -> Properties -> Device Administration -> User Accounts, выбираем пользователя, нажимаем кнопку Edit. |