Перейти к содержимому
Калькуляторы

resetsa

Новичок
  • Публикации

    2
  • Зарегистрирован

  • Посещение

О resetsa

  • Звание
    Абитуриент
  1. Cisco ASA, режим enable

    смысл в назначении разных прав разным пользователям. И НЕ ПОЛУЧАЮТ никаких привелегий сверх того, что им разрешено, т.к. не знают enable пароля. А это тут причём? Для общего развития рассмотрите организацию с сотней-другой железок и десятком админов разной заточки, которые до кучи ещё и увольняются и нанимаются новые. Чтобы не иметь гемороя с перенастройкой пары сотен железок при увольнении/наёме и повышении/понижении статуса про enable просто забывают а юзеров-пароли-привелегии хранят или в фирменном tacacs или в кросплатформенном radius. И всё файн. Наняли/уволили, на сервере реквизиты поменяли и всё. Ну и про локального бекдор пользователя забывать не надо, в то при обрыве связи локально с ноутбука будет не попасть. Вот локальному пользователю enable и пригодится, чтобы "перескочить" сложные политики доступа, оставшиеся на ставшем таким недоступным сервере, и сразу стать самым-самым. И приступить к траблшуту. Эти рассуждения верны для классического IOS. В ASA же принципиально нельзя обеспечить вход админа с уровнем привилегий 15 (хоть что будет написано в username). Если прописать пользователя 15, то ему при входе на ASA всё-рано придётся вводить пароль enable, единый для всех юзеров. И пароль этот такаксом не сменить. Т.е., получается, что при понижении роли админа - надо всем менять пароль enable. откройте уже для себя команду login. поставьте очень длинный enable пароль. и гляньте в сторону aaa authorization exec LOCAL auto-enable
  2. Что не то не пойму, что тут не реализуемо? Вопрос к ТС, сколько готовы предложить за решение задачи?