Jump to content
Калькуляторы

Пользователь c privilege 0

Появилась задача, на маршрутизаторе поднять VPN. Чтоб сотрудники могли подключиться к офису.

Соответственно под каждого сотрудника должна быть сделана учётка на циске.

 

И вот казалось бы, простая задача, создать пользователя с privilege 0. Но, чё то не взлетело.

Создаю пользователя: username test1 privilege 0 password12345

Далее авторизуюсь под этим пользователем и сразу же попадаю в привилегированный режим!?

Почему??? Кто подскажет???

 

 

Share this post


Link to post
Share on other sites

aaa new-model

 

aaa authentication login default local
aaa authorization network default local

 

ip access-list standard trusted.hosts

permit 10.12.13.0 0.0.0.31

deny   any log

 

snmp-server community blablabla RO trusted.hosts

 

line vty 0 4
 access-class trusted.hosts in

 

line vty 5 15
 access-class trusted.hosts in

 

 

 

 

Share this post


Link to post
Share on other sites

rz3dwyaaa new-model включена в обязательном порядке.

 

ip access-list standard trusted.hosts
permit 10.12.13.0 0.0.0.31
deny   any log
 
snmp-server community blablabla RO trusted.hosts
 
line vty 0 4
 access-class trusted.hosts in
 
line vty 5 15
 access-class trusted.hosts in
 

Эти опции добавляются по желанию, т.к. на уровень привилегий не влияют.

Share this post


Link to post
Share on other sites

Эти опции не дадут залогиниться шеллом на устройстве. У меня и свитчи и роутеры. Что на локальной ааа, что с такаксом, при privilege 0 прав нет. 

 

А, еще

enable secret

есть?

Share this post


Link to post
Share on other sites
3 часа назад, rz3dwy сказал:

Эти опции не дадут залогиниться шеллом на устройстве. У меня и свитчи и роутеры.

Это хорошо работает, в локалке, а что если у меня динамический ip с внешней стороны? 

3 часа назад, rz3dwy сказал:

А, еще

enable secret

есть?

юзаю service password-encryption

 

 

3 часа назад, rz3dwy сказал:

Что на локальной ааа, что с такаксом, при privilege 0 прав нет. 

 

А с этого момента можно по подробней?

Share this post


Link to post
Share on other sites

А что подробней? Если у вас локальная аутентификация и авторизация, то при создании юзера с 0 уровнем ему доступны только следующие команды?

core>?
Exec commands:
  <1-99>   Session number to resume
  disable  Turn off privileged commands
  enable   Turn on privileged commands
  exit     Exit from the EXEC
  help     Description of the interactive help system
  logout   Exit from the EXEC

 

Это в том случае, если вы вручную не правили уровни привилегий. Разумеется, пользователи не должны знать пароля от enable.

 

Какой у вас адрес со стороны инета, это неважно.  С внешней стороны железо должно быть закрыто всегда.

Share this post


Link to post
Share on other sites
8 часов назад, rz3dwy сказал:

Это в том случае, если вы вручную не правили уровни привилегий.

Привилегии дефолтные.

Но в моем случае, пользователь  почему-то набирая enable сразу (без ввода пароля) попадает в привилегированный режим.

 

Share this post


Link to post
Share on other sites
13 часов назад, rz3dwy сказал:

enable secret

Мля, по началу не понял за ЧТО идёт речь.

Спасибо! Причина крылась именно в этом.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now