Jump to content
Калькуляторы

Настроить удаленный доступ на Cisco

Помогите настроить доступ к коммутатору Catalyst 3750E.

Нужно сделать следующее:

1. При подключении по консоли я сразу попадаю в привилегированный режим (level 15), без авторизации и без enable.

2. При подключении по сети (SSH) с авторизацией под логином admin я сразу попадаю в привилегированный режим (level 15), без enable.

3. При подключении по сети (SSH) с авторизацией под логином user я сразу попадаю в привилегированный режим (level 5), без enable.

 

Сейчас я сгенерировал ключи, создал пользователей (с шифрованными паролями), включил SSH, настроил привилегии.

Терминалы настроены так:

username admin privilege 15 password 7 xxx
username user privilege 5 password 7 xxx
...
aaa new-model
aaa authentication login default local
...
line con 0
line vty 0 4
access-class ADMIN_ACCESS in
exec-timeout 60
logging synchronous
line vty 5 15
access-class ADMIN_ACCESS in
exec-timeout 60
logging synchronous

 

Но что-то не так.

При подключении по консоли запрашивается авторизация. И режим не привилегированный, нужно вводить enable (без пароля).

При подключении по сети (ssh или telnet) запрашивается авторизация. При входе режим не привилегированный, но при вводе enable выдается ошибка:

CORE-SERVICE-C3750E>ena
% Error in authentication.

 

Ну и если не сложно, чем терминалы 0-4 отличаются от терминалов 5-15?

Share this post


Link to post
Share on other sites

Если сделать так:

line vty 0 15
access-class ADMIN_ACCESS in
exec-timeout 60 0
privilege level 15
logging synchronous
transport input ssh

Тогда при авторизации по ssh я сразу попадаю в привилегированный режим.

Даже если захожу под user.

Share this post


Link to post
Share on other sites

Но тогда ведь нужно будет вводить пароль для включения привилегированного режима?

 

Сейчас я сделал так:

username admin privilege 15 password 7 xxx
username cybercom privilege 5 password 7 xxx
no aaa new-model
ip ssh version 2
line con 0
privilege level 15
international
escape-character BREAK
line vty 0 15
access-class ADMIN_ACCESS in
exec-timeout 60 0
privilege level 15
logging synchronous
login local
international
transport input ssh
escape-character BREAK

Работает как мне надо, т.е. с консоли пускает без авторизации, по ssh авторизацию требует.

Единственное - пользователь user также получает privilege level 15 (а не 5, как мне бы хотелось).

А можно ли с aaa-model такого добиться?

Share this post


Link to post
Share on other sites

Единственное - пользователь user также получает privilege level 15 (а не 5, как мне бы хотелось).

это видимость, надо уровень привилегий проверять

#show privilege 
Current privilege level is 15

 

а для aaa new-model надо уровень привилегий на такаксе выставлять

http://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/13860-PRIV.html

 

Cisco Secure NT TACACS+

Follow these steps to configure the server.

   Fill in the username and password.

   In Group Settings, make sure shell/exec is checked, and that 7 has been entered in the privilege level box.

TACACS+ - Stanza in Freeware Server

   Stanza in TACACS+ freeware:
   user = seven {
   login = cleartext seven
   service = exec {
   priv-lvl = 7
   }
   }

Cisco Secure UNIX TACACS+

   user = seven {
   password = clear "seven"
   service = shell {
   set priv-lvl = 7
   }
   }

Share this post


Link to post
Share on other sites

Последнее время стало не модно читать книжки, это очень печалит.

http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html

 

Фундаментальные штуки надо читать.

Share this post


Link to post
Share on other sites

Последнее время стало не модно читать книжки, это очень печалит.

http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html

 

Фундаментальные штуки надо читать.

 

Зато у некоторых фрилансеров всегда будет работа и заработок не только на хлеб, но и на хлеб с маслом :)

Edited by vlad11

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.