alibek Опубликовано 11 октября, 2014 · Жалоба Помогите настроить доступ к коммутатору Catalyst 3750E. Нужно сделать следующее: 1. При подключении по консоли я сразу попадаю в привилегированный режим (level 15), без авторизации и без enable. 2. При подключении по сети (SSH) с авторизацией под логином admin я сразу попадаю в привилегированный режим (level 15), без enable. 3. При подключении по сети (SSH) с авторизацией под логином user я сразу попадаю в привилегированный режим (level 5), без enable. Сейчас я сгенерировал ключи, создал пользователей (с шифрованными паролями), включил SSH, настроил привилегии. Терминалы настроены так: username admin privilege 15 password 7 xxx username user privilege 5 password 7 xxx ... aaa new-model aaa authentication login default local ... line con 0 line vty 0 4 access-class ADMIN_ACCESS in exec-timeout 60 logging synchronous line vty 5 15 access-class ADMIN_ACCESS in exec-timeout 60 logging synchronous Но что-то не так. При подключении по консоли запрашивается авторизация. И режим не привилегированный, нужно вводить enable (без пароля). При подключении по сети (ssh или telnet) запрашивается авторизация. При входе режим не привилегированный, но при вводе enable выдается ошибка: CORE-SERVICE-C3750E>ena % Error in authentication. Ну и если не сложно, чем терминалы 0-4 отличаются от терминалов 5-15? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 октября, 2014 · Жалоба Если сделать так: line vty 0 15 access-class ADMIN_ACCESS in exec-timeout 60 0 privilege level 15 logging synchronous transport input ssh Тогда при авторизации по ssh я сразу попадаю в привилегированный режим. Даже если захожу под user. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 11 октября, 2014 · Жалоба в режиме глобальной конфигурации enable password 7 <password> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 октября, 2014 · Жалоба Но тогда ведь нужно будет вводить пароль для включения привилегированного режима? Сейчас я сделал так: username admin privilege 15 password 7 xxx username cybercom privilege 5 password 7 xxx no aaa new-model ip ssh version 2 line con 0 privilege level 15 international escape-character BREAK line vty 0 15 access-class ADMIN_ACCESS in exec-timeout 60 0 privilege level 15 logging synchronous login local international transport input ssh escape-character BREAK Работает как мне надо, т.е. с консоли пускает без авторизации, по ssh авторизацию требует. Единственное - пользователь user также получает privilege level 15 (а не 5, как мне бы хотелось). А можно ли с aaa-model такого добиться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 11 октября, 2014 · Жалоба Единственное - пользователь user также получает privilege level 15 (а не 5, как мне бы хотелось). это видимость, надо уровень привилегий проверять #show privilege Current privilege level is 15 а для aaa new-model надо уровень привилегий на такаксе выставлять http://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/13860-PRIV.html Cisco Secure NT TACACS+ Follow these steps to configure the server. Fill in the username and password. In Group Settings, make sure shell/exec is checked, and that 7 has been entered in the privilege level box. TACACS+ - Stanza in Freeware Server Stanza in TACACS+ freeware: user = seven { login = cleartext seven service = exec { priv-lvl = 7 } } Cisco Secure UNIX TACACS+ user = seven { password = clear "seven" service = shell { set priv-lvl = 7 } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 11 октября, 2014 · Жалоба Последнее время стало не модно читать книжки, это очень печалит. http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html Фундаментальные штуки надо читать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 11 октября, 2014 (изменено) · Жалоба Последнее время стало не модно читать книжки, это очень печалит. http://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfaaa.html Фундаментальные штуки надо читать. Зато у некоторых фрилансеров всегда будет работа и заработок не только на хлеб, но и на хлеб с маслом :) Изменено 11 октября, 2014 пользователем vlad11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 13 октября, 2014 · Жалоба в режиме глобальной конфигурации enable password 7 <password> Не-а password 0 для начала =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...