alibek Posted October 11, 2014 · Report post Помогите настроить доступ к коммутатору Catalyst 3750E. Нужно сделать следующее: 1. При подключении по консоли я сразу попадаю в привилегированный режим (level 15), без авторизации и без enable. 2. При подключении по сети (SSH) с авторизацией под логином admin я сразу попадаю в привилегированный режим (level 15), без enable. 3. При подключении по сети (SSH) с авторизацией под логином user я сразу попадаю в привилегированный режим (level 5), без enable. Сейчас я сгенерировал ключи, создал пользователей (с шифрованными паролями), включил SSH, настроил привилегии. Терминалы настроены так: username admin privilege 15 password 7 xxx username user privilege 5 password 7 xxx ... aaa new-model aaa authentication login default local ... line con 0 line vty 0 4 access-class ADMIN_ACCESS in exec-timeout 60 logging synchronous line vty 5 15 access-class ADMIN_ACCESS in exec-timeout 60 logging synchronous Но что-то не так. При подключении по консоли запрашивается авторизация. И режим не привилегированный, нужно вводить enable (без пароля). При подключении по сети (ssh или telnet) запрашивается авторизация. При входе режим не привилегированный, но при вводе enable выдается ошибка: CORE-SERVICE-C3750E>ena % Error in authentication. Ну и если не сложно, чем терминалы 0-4 отличаются от терминалов 5-15? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 11, 2014 · Report post Если сделать так: line vty 0 15 access-class ADMIN_ACCESS in exec-timeout 60 0 privilege level 15 logging synchronous transport input ssh Тогда при авторизации по ssh я сразу попадаю в привилегированный режим. Даже если захожу под user. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted October 11, 2014 · Report post в режиме глобальной конфигурации enable password 7 <password> Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 11, 2014 · Report post Но тогда ведь нужно будет вводить пароль для включения привилегированного режима? Сейчас я сделал так: username admin privilege 15 password 7 xxx username cybercom privilege 5 password 7 xxx no aaa new-model ip ssh version 2 line con 0 privilege level 15 international escape-character BREAK line vty 0 15 access-class ADMIN_ACCESS in exec-timeout 60 0 privilege level 15 logging synchronous login local international transport input ssh escape-character BREAK Работает как мне надо, т.е. с консоли пускает без авторизации, по ssh авторизацию требует. Единственное - пользователь user также получает privilege level 15 (а не 5, как мне бы хотелось). А можно ли с aaa-model такого добиться? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted October 11, 2014 · Report post Единственное - пользователь user также получает privilege level 15 (а не 5, как мне бы хотелось). это видимость, надо уровень привилегий проверять #show privilege Current privilege level is 15 а для aaa new-model надо уровень привилегий на такаксе выставлять http://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/13860-PRIV.html Cisco Secure NT TACACS+ Follow these steps to configure the server. Fill in the username and password. In Group Settings, make sure shell/exec is checked, and that 7 has been entered in the privilege level box. TACACS+ - Stanza in Freeware Server Stanza in TACACS+ freeware: user = seven { login = cleartext seven service = exec { priv-lvl = 7 } } Cisco Secure UNIX TACACS+ user = seven { password = clear "seven" service = shell { set priv-lvl = 7 } } Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted October 11, 2014 · Report post Последнее время стало не модно читать книжки, это очень печалит. http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html Фундаментальные штуки надо читать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted October 11, 2014 (edited) · Report post Последнее время стало не модно читать книжки, это очень печалит. http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html Фундаментальные штуки надо читать. Зато у некоторых фрилансеров всегда будет работа и заработок не только на хлеб, но и на хлеб с маслом :) Edited October 11, 2014 by vlad11 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted October 13, 2014 · Report post в режиме глобальной конфигурации enable password 7 <password> Не-а password 0 для начала =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...