Jump to content
Калькуляторы

Настроить удаленный доступ на Cisco

Помогите настроить доступ к коммутатору Catalyst 3750E.

Нужно сделать следующее:

1. При подключении по консоли я сразу попадаю в привилегированный режим (level 15), без авторизации и без enable.

2. При подключении по сети (SSH) с авторизацией под логином admin я сразу попадаю в привилегированный режим (level 15), без enable.

3. При подключении по сети (SSH) с авторизацией под логином user я сразу попадаю в привилегированный режим (level 5), без enable.

 

Сейчас я сгенерировал ключи, создал пользователей (с шифрованными паролями), включил SSH, настроил привилегии.

Терминалы настроены так:

username admin privilege 15 password 7 xxx
username user privilege 5 password 7 xxx
...
aaa new-model
aaa authentication login default local
...
line con 0
line vty 0 4
access-class ADMIN_ACCESS in
exec-timeout 60
logging synchronous
line vty 5 15
access-class ADMIN_ACCESS in
exec-timeout 60
logging synchronous

 

Но что-то не так.

При подключении по консоли запрашивается авторизация. И режим не привилегированный, нужно вводить enable (без пароля).

При подключении по сети (ssh или telnet) запрашивается авторизация. При входе режим не привилегированный, но при вводе enable выдается ошибка:

CORE-SERVICE-C3750E>ena
% Error in authentication.

 

Ну и если не сложно, чем терминалы 0-4 отличаются от терминалов 5-15?

Share this post


Link to post
Share on other sites

Если сделать так:

line vty 0 15
access-class ADMIN_ACCESS in
exec-timeout 60 0
privilege level 15
logging synchronous
transport input ssh

Тогда при авторизации по ssh я сразу попадаю в привилегированный режим.

Даже если захожу под user.

Share this post


Link to post
Share on other sites

в режиме глобальной конфигурации enable password 7 <password>

Share this post


Link to post
Share on other sites

Но тогда ведь нужно будет вводить пароль для включения привилегированного режима?

 

Сейчас я сделал так:

username admin privilege 15 password 7 xxx
username cybercom privilege 5 password 7 xxx
no aaa new-model
ip ssh version 2
line con 0
privilege level 15
international
escape-character BREAK
line vty 0 15
access-class ADMIN_ACCESS in
exec-timeout 60 0
privilege level 15
logging synchronous
login local
international
transport input ssh
escape-character BREAK

Работает как мне надо, т.е. с консоли пускает без авторизации, по ssh авторизацию требует.

Единственное - пользователь user также получает privilege level 15 (а не 5, как мне бы хотелось).

А можно ли с aaa-model такого добиться?

Share this post


Link to post
Share on other sites

Единственное - пользователь user также получает privilege level 15 (а не 5, как мне бы хотелось).

это видимость, надо уровень привилегий проверять

#show privilege 
Current privilege level is 15

 

а для aaa new-model надо уровень привилегий на такаксе выставлять

http://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/13860-PRIV.html

 

Cisco Secure NT TACACS+

Follow these steps to configure the server.

   Fill in the username and password.

   In Group Settings, make sure shell/exec is checked, and that 7 has been entered in the privilege level box.

TACACS+ - Stanza in Freeware Server

   Stanza in TACACS+ freeware:
   user = seven {
   login = cleartext seven
   service = exec {
   priv-lvl = 7
   }
   }

Cisco Secure UNIX TACACS+

   user = seven {
   password = clear "seven"
   service = shell {
   set priv-lvl = 7
   }
   }

Share this post


Link to post
Share on other sites

Последнее время стало не модно читать книжки, это очень печалит.

http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html

 

Фундаментальные штуки надо читать.

 

Зато у некоторых фрилансеров всегда будет работа и заработок не только на хлеб, но и на хлеб с маслом :)

Edited by vlad11

Share this post


Link to post
Share on other sites

в режиме глобальной конфигурации enable password 7 <password>

Не-а password 0 для начала =)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this