RN3DCX Posted September 24, 2017 · Report post Появилась задача, на маршрутизаторе поднять VPN. Чтоб сотрудники могли подключиться к офису. Соответственно под каждого сотрудника должна быть сделана учётка на циске. И вот казалось бы, простая задача, создать пользователя с privilege 0. Но, чё то не взлетело. Создаю пользователя: username test1 privilege 0 password12345 Далее авторизуюсь под этим пользователем и сразу же попадаю в привилегированный режим!? Почему??? Кто подскажет??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rz3dwy Posted September 25, 2017 · Report post aaa new-model aaa authentication login default local aaa authorization network default local ip access-list standard trusted.hosts permit 10.12.13.0 0.0.0.31 deny any log snmp-server community blablabla RO trusted.hosts line vty 0 4 access-class trusted.hosts in line vty 5 15 access-class trusted.hosts in Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted September 25, 2017 · Report post rz3dwy, aaa new-model включена в обязательном порядке. ip access-list standard trusted.hosts permit 10.12.13.0 0.0.0.31 deny any log snmp-server community blablabla RO trusted.hosts line vty 0 4 access-class trusted.hosts in line vty 5 15 access-class trusted.hosts in Эти опции добавляются по желанию, т.к. на уровень привилегий не влияют. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rz3dwy Posted September 25, 2017 · Report post Эти опции не дадут залогиниться шеллом на устройстве. У меня и свитчи и роутеры. Что на локальной ааа, что с такаксом, при privilege 0 прав нет. А, еще enable secret есть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted September 25, 2017 · Report post 3 часа назад, rz3dwy сказал: Эти опции не дадут залогиниться шеллом на устройстве. У меня и свитчи и роутеры. Это хорошо работает, в локалке, а что если у меня динамический ip с внешней стороны? 3 часа назад, rz3dwy сказал: А, еще enable secret есть? юзаю service password-encryption 3 часа назад, rz3dwy сказал: Что на локальной ааа, что с такаксом, при privilege 0 прав нет. А с этого момента можно по подробней? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rz3dwy Posted September 25, 2017 · Report post А что подробней? Если у вас локальная аутентификация и авторизация, то при создании юзера с 0 уровнем ему доступны только следующие команды? core>? Exec commands: <1-99> Session number to resume disable Turn off privileged commands enable Turn on privileged commands exit Exit from the EXEC help Description of the interactive help system logout Exit from the EXEC Это в том случае, если вы вручную не правили уровни привилегий. Разумеется, пользователи не должны знать пароля от enable. Какой у вас адрес со стороны инета, это неважно. С внешней стороны железо должно быть закрыто всегда. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted September 25, 2017 · Report post 8 часов назад, rz3dwy сказал: Это в том случае, если вы вручную не правили уровни привилегий. Привилегии дефолтные. Но в моем случае, пользователь почему-то набирая enable сразу (без ввода пароля) попадает в привилегированный режим. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted September 25, 2017 · Report post 13 часов назад, rz3dwy сказал: enable secret Мля, по началу не понял за ЧТО идёт речь. Спасибо! Причина крылась именно в этом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...