Перейти к содержанию

Управление пользователями

Функция управления пользователями обеспечивает создание, хранение и использование учетных записей для доступа к коммутатору по консоли и удаленным каналам (SSH, Telnet, HTTP/HTTPS, SNMP и т.п.). Настройка локальной базы пользователей и параметров аутентификации является частью базовой защиты устройства и позволяет разграничивать права доступа в зависимости от роли администратора.

Необходимые условия и предварительные требования

Обеспечить доступ к консоли или защищенный удаленный доступ (SSH).

Основная информация

Локальная база пользователей хранится в конфигурации коммутатора и включает в себя имя пользователя (логин), хэшированный пароль, уровень привилегий. Основными преимуществами локальной базы являются независимость от внешних серверов, возможность использовать ее как в качестве основной, так и резервной схемы аутентификации, а также простота первоначальной настройки.

Уровень привилегий — это число в диапазоне от 0 до 15 включительно, где 0 является самым низким уровнем. Он назначается сеансу пользователя и используется для определения доступа к командам ICLI. Доступны только команды того же или более низкого уровня привилегий. У каждого пользователя на устройстве есть уровень привилегий по умолчанию, который копируется в уровень привилегий сеанса при входе в систему. Однако пользователь может изменить уровень привилегий сеанса с помощью команд enable или disable. Это можно использовать следующим образом:

  • Учетная запись пользователя настроена с уровнем привилегий 0;
  • Когда пользователю необходимо выполнить команды с более высокими привилегиями, он изменяет уровень привилегий сеанса, выполняет необходимые команды, а затем возвращается к уровню привилегий по умолчанию.

Доступ к более высоким уровням привилегий должен быть защищен паролем с помощью глобальных команд конфигурации enable password или enable secret. Основное различие между ними заключается в том, отображаются ли пароли в виде открытого текста или в зашифрованном виде в running-config и в startup-config.

Ввод пароля также может осуществляться в зашифрованном виде или в виде открытого текста. Последний вариант используется, когда оператор вводит новый пароль, так как оператор обычно не знает зашифрованную форму пароля.

Смена пароля по умолчанию

По умолчанию на коммутаторе создана локальная учетная запись admin без пароля, обладающая полными административными правами на устройство. Использование данной учетной записи в исходном виде не допускается в рабочей эксплуатации и требует обязательной немедленной смены пароля после первичного входа на коммутатор.

Назначение применяемой команды/конфигурации

Команды в режиме глобальной конфигурации

1
2
3
4
5
6
7
8
username <word31> privilege <0-15> password { encrypted | none | unencrypted }
login block-for <1-65535> attempts <1-65535> within <1-65535>
login delay <1-10>
login on-failure log

no username <word31>
no login block-for
no login on-failure log

Команда отображения информации

1
2
3
4
5
show running-config
show login
show users
show user-privilege
show privilege

Пример конфигурирования

Пример создания пользователя

1
2
# configure terminal
(config)# username test privilege 15 password unencrypted 12345test

Пример настройки защиты от перебора пароля

1
2
3
4
# configure terminal
(config)# login block-for 120 attempts 5 within 60
(config)# login delay 5
(config)# login on-failure log