Перейти к содержимому
Калькуляторы

Настроить удаленный доступ на Cisco

Помогите настроить доступ к коммутатору Catalyst 3750E.

Нужно сделать следующее:

1. При подключении по консоли я сразу попадаю в привилегированный режим (level 15), без авторизации и без enable.

2. При подключении по сети (SSH) с авторизацией под логином admin я сразу попадаю в привилегированный режим (level 15), без enable.

3. При подключении по сети (SSH) с авторизацией под логином user я сразу попадаю в привилегированный режим (level 5), без enable.

 

Сейчас я сгенерировал ключи, создал пользователей (с шифрованными паролями), включил SSH, настроил привилегии.

Терминалы настроены так:

username admin privilege 15 password 7 xxx
username user privilege 5 password 7 xxx
...
aaa new-model
aaa authentication login default local
...
line con 0
line vty 0 4
access-class ADMIN_ACCESS in
exec-timeout 60
logging synchronous
line vty 5 15
access-class ADMIN_ACCESS in
exec-timeout 60
logging synchronous

 

Но что-то не так.

При подключении по консоли запрашивается авторизация. И режим не привилегированный, нужно вводить enable (без пароля).

При подключении по сети (ssh или telnet) запрашивается авторизация. При входе режим не привилегированный, но при вводе enable выдается ошибка:

CORE-SERVICE-C3750E>ena
% Error in authentication.

 

Ну и если не сложно, чем терминалы 0-4 отличаются от терминалов 5-15?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если сделать так:

line vty 0 15
access-class ADMIN_ACCESS in
exec-timeout 60 0
privilege level 15
logging synchronous
transport input ssh

Тогда при авторизации по ssh я сразу попадаю в привилегированный режим.

Даже если захожу под user.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в режиме глобальной конфигурации enable password 7 <password>

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но тогда ведь нужно будет вводить пароль для включения привилегированного режима?

 

Сейчас я сделал так:

username admin privilege 15 password 7 xxx
username cybercom privilege 5 password 7 xxx
no aaa new-model
ip ssh version 2
line con 0
privilege level 15
international
escape-character BREAK
line vty 0 15
access-class ADMIN_ACCESS in
exec-timeout 60 0
privilege level 15
logging synchronous
login local
international
transport input ssh
escape-character BREAK

Работает как мне надо, т.е. с консоли пускает без авторизации, по ssh авторизацию требует.

Единственное - пользователь user также получает privilege level 15 (а не 5, как мне бы хотелось).

А можно ли с aaa-model такого добиться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Единственное - пользователь user также получает privilege level 15 (а не 5, как мне бы хотелось).

это видимость, надо уровень привилегий проверять

#show privilege 
Current privilege level is 15

 

а для aaa new-model надо уровень привилегий на такаксе выставлять

http://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/13860-PRIV.html

 

Cisco Secure NT TACACS+

Follow these steps to configure the server.

   Fill in the username and password.

   In Group Settings, make sure shell/exec is checked, and that 7 has been entered in the privilege level box.

TACACS+ - Stanza in Freeware Server

   Stanza in TACACS+ freeware:
   user = seven {
   login = cleartext seven
   service = exec {
   priv-lvl = 7
   }
   }

Cisco Secure UNIX TACACS+

   user = seven {
   password = clear "seven"
   service = shell {
   set priv-lvl = 7
   }
   }

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Последнее время стало не модно читать книжки, это очень печалит.

http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html

 

Фундаментальные штуки надо читать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Последнее время стало не модно читать книжки, это очень печалит.

http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html

 

Фундаментальные штуки надо читать.

 

Зато у некоторых фрилансеров всегда будет работа и заработок не только на хлеб, но и на хлеб с маслом :)

Изменено пользователем vlad11

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в режиме глобальной конфигурации enable password 7 <password>

Не-а password 0 для начала =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.