Управление пользователями

Функция управления пользователями обеспечивает создание, хранение и использование учетных записей для доступа к коммутатору по консоли и удаленным каналам (SSH, Telnet, HTTP/HTTPS, SNMP и т.п.).
Настройка локальной базы пользователей и параметров аутентификации является частью базовой защиты устройства и позволяет разграничивать права доступа в зависимости от роли администратора.

Необходимые условия и предварительные требования

Обеспечить доступ к консоли или защищенный удаленный доступ (SSH).

Основная информация

Локальная база пользователей хранится в конфигурации коммутатора и включает в себя имя пользователя (логин), хэшированный пароль, уровень привилегий. Основными преимуществами локальной базы являются независимость от внешних серверов, возможность использовать ее как в качестве основной, так и резервной схемы аутентификации, а также простота первоначальной настройки.

По умолчанию на коммутаторе предсоздана локальная учетная запись root с паролем admin, включенная в группу administrators и обладающая полными административными правами на устройство. Использование данной учетной записи в исходном виде не допускается в рабочей эксплуатации и требует обязательной немедленной смены пароля после первичного входа на коммутатор.

Назначение применяемой команды

Имя пользователя и пароль вводятся при входе в систему во время сеансов администрирования устройства. Для создания нового пользователя системы или настройки любого из параметров – имени пользователя, пароля, уровня привилегий, используются команды:

username <имя> group <группа> password <пароль>

username <имя> - задает уникальный логин пользователя, по которому он будет проходить аутентификацию (например, admin, support, monitor).

group <группа> - назначает пользователю уровень привилегий:

• guests – минимальный уровень доступа. Позволяет выполнить вход в систему и использовать только базовые служебные команды (завершение сессии, выход из текущего режима, вызов справки). Просмотр конфигурации, параметров работы устройства и выполнение любых команд настройки недоступны.

• users – уровень пользователя. Позволяет выполнить вход в систему и просматривать ограниченный набор информационных данных о состоянии устройства (ограниченный перечень команд отображения). Доступ к режиму конфигурации, диагностическим командам и операциям администрирования отсутствует.

• operators – уровень оператора. Обеспечивает доступ к расширенному набору команд просмотра и диагностики, включая команды отображения конфигурации и текущих параметров работы устройства. Выполнение команд изменения конфигурации, управления файлами и операций администрирования недоступно.

• administrators – административный уровень. Предоставляет полный доступ к устройству, включая вход в режим конфигурации, изменение любых параметров, управление файлами конфигурации, выполнение сервисных операций, перезагрузку устройства и другие административные действия.

password <пароль> - задает пароль пользователя; при сохранении в конфигурации он не хранится в открытом виде, а преобразуется в хэш.

В результате выполнения команды будет создан пользователь с заданным именем, паролем и уровнем привилегий.

Пример конфигурирования

Исходное состояние

• Коммутатор в заводских настройках или с минимальной базовой конфигурацией.
• Доступ осуществляется по консоли/SSH.
• Внешние AAA-сервера не используются (настройка только локальных пользователей).

Задача

• Создать трех пользователей:
• newadmin — полный доступ;
• support — ограниченный доступ для обслуживания;
• monitor — доступ только на просмотр;

Пример конфигурации (CLI)

Switch# configure
Switch(config)# username newadmin group administrators password strong-pass1
Switch(config)# username support group operators password strong-pass2
Switch(config)# username monitor group guests password strong-pass3
Switch(config)# end
Switch# write file

Полный вывод выполненных конфигураций

Ниже приведен пример фрагмента конфигурации из show running-config, относящейся к управлению пользователями и доступом:

Switch#show running-config    
!Device running configuration:  
!version V1.0.2  
!2025/12/09 17:29:53  
!  
hostname Switch  
!  
username monitor group guests password $1$y967$7XN199vbL7phYhpZ.MRkg/    
username newadmin group administrators password $1$ljek$5k/lQVBhdHX1o0LDp.h4W.    
username support group operators password $1$49r7$NSXuilWEiiLnQhYALeFku/    
!

Изучение состояния устройства

show user config — команда просмотра текущей конфигурации локальных пользователей устройства. Команда выводит список всех настроенных локальных учетных записей, включая имя пользователя, принадлежность к группе (уровню доступа) и сохраненный в конфигурации хэш пароля.

Switch#show user config    
!  
username monitor group guests password $1$y967$7XN199vbL7phYhpZ.MRkg/    
username newadmin group administrators password $1$ljek$5k/lQVBhdHX1o0LDp.h4W.      
username support group operators password $1$49r7$NSXuilWEiiLnQhYALeFku/

show user verbose – команда вывода расширенной информации о локальных пользователях устройства.
show user verbose < name > – команда вывода расширенной информации о конкретном пользователе < name >.

Команда позволяет просмотреть не только базовую конфигурацию учетных записей, но и дополнительные параметры: срок действия пароля, ограничения по количеству неудачных попыток входа, статистику использования учетной записи и служебные параметры.

Switch#show user verbose    
User name                               : monitor  
User group                              : guests  
Password type                           : cipher  
Password live time                      : 30(days)  
Authtication max fail count             : 3  
User reauthentication interval          : 0(minutes)  
User online count                       : 5  
User login count                        : 0  
User existence time                     : 7(minutes)  
Password recently update time           : 7(minutes) ago  
User ftp directory                      : /ram/.user/monitor  

User name                               : newadmin  
User group                              : administrators  
Password type                           : cipher  
Password live time                      : 30(days)  
Authtication max fail count             : 3  
User reauthentication interval          : 0(minutes)  
User online count                       : 5  
User login count                        : 0  
User existence time                     : 7(minutes)  
Password recently update time           : 7(minutes) ago  
User ftp directory                      : /ram/.user/newadmin  

User name                               : support  
User group                              : operators  
Password type                           : cipher  
Password live time                      : 30(days)  
Authtication max fail count             : 3  
User reauthentication interval          : 0(minutes)  
User online count                       : 5  
User login count                        : 0  
User existence time                     : 7(minutes)  
Password recently update time           : 7(minutes) ago  
User ftp directory                      : /ram/.user/support

Switch#show user verbose newadmin  
User name                               : newadmin  
User group                              : administrators  
Password type                           : cipher  
Password live time                      : 30(days)  
Authtication max fail count             : 3  
User reauthentication interval          : 0(minutes)  
User online count                       : 5  
User login count                        : 0  
User existence time                     : 8(minutes)  
Password recently update time           : 8(minutes) ago  
User ftp directory                      : /ram/.user/newadmin

Описание полей вывода

• User name – имя пользователя, логин, используемый при входе в систему.

  • User group – группа пользователя, определяющая уровень доступа:
    • guests – минимальный уровень доступа;
    • users – пользовательский уровень с ограниченным просмотром;
    • operators – операторский уровень с расширенным набором команд просмотра и диагностики;
    • administrators – полный административный доступ.

• Password type – тип хранения пароля:

  • cipher – пароль хранится в конфигурации в виде криптографического хэша, не отображается в открытом виде.

• Password live time – срок действия пароля пользователя в днях. По истечении указанного срока пароль считается устаревшим и подлежит замене в соответствии с политикой безопасности.

• Authtication max fail count – максимальное количество последовательных неудачных попыток аутентификации, допускаемых для данного пользователя. Превышение значения может приводить к блокировке попыток входа или другим мерам защиты в зависимости от настроек системы.

• User reauthentication interval – интервал повторной аутентификации для уже активной сессии пользователя в минутах. Значение 0(minutes) означает отсутствие принудительной периодической повторной аутентификации в рамках одной сессии.

• User online count – максимально допустимое количество одновременных активных сессий для данного пользователя. Значение 5 означает, что пользователь может иметь до пяти параллельных соединений (например, несколько SSH-сессий).

• User login count – количество выполненных входов в систему для данной учетной записи с момента ее создания или последнего сброса счетчика. Значение используется для оценки фактического использования учетной записи.

• User existence time – время, прошедшее с момента создания учетной записи до текущего момента, в минутах. Полезно для контроля «возраста» пользователя и соответствия политикам безопасности (например, временные учетные записи).

• Password recently update time – время, прошедшее с момента последней смены пароля пользователя. Позволяет контролировать, насколько давно изменялся пароль и нужно ли его обновление.

• User ftp directory – рабочий каталог пользователя при доступе по FTP. Определяет, к какой файловой области устройства пользователь получает доступ при использовании FTP-сервера коммутатора.

show user glob-info – команда вывода глобальных параметров политики безопасности паролей и общих настроек учетных записей. Команда показывает действующие ограничения на длину и сложность пароля, срок его жизни, параметры повторной аутентификации, максимальное количество неудачных попыток входа и базовый FTP-каталог для пользователей.

Switch#show user glob-info    
Password length                 : 8  
Password complexity             : 3  
Default password length         : 8  
Default password complexity     : 3  
Same name password              : deny  
Password live time              : 30(days)  
Password live prompt time       : 10(days)  
User reauthentication interval  : 0(minutes)  
Authtication max fail count     : 3  
User default ftp root path      : /ram/.user/USERNAME

Описание полей вывода

• Password length
  Минимально допустимая длина пароля для новых и изменяемых учетных записей.
  В примере значение 8 означает, что пароль должен содержать не менее восьми символов.

• Password complexity
  Требуемый уровень сложности пароля.
  Значение задается числом и определяет набор обязательных типов символов (буквы, цифры, специальные символы). Увеличение значения повышает требования к паролю и исключает использование простых комбинаций.

• Default password length
  Базовое (значение по умолчанию) минимальной длины пароля, которое используется при сбросе параметров к заводским или при отсутствии явной перенастройки. В примере – 8.

• Default password complexity
  Базовый уровень сложности пароля по умолчанию. Применяется при начальной конфигурации устройства или при возврате к значениям по умолчанию, если явные настройки не заданы. В примере – 3.

• Same name password
  Политика совпадения имени пользователя и пароля.

  • deny – использование пароля, совпадающего с именем пользователя, запрещено;

  • allow – использование таких паролей допускается.
    В примере установлено значение deny, что предотвращает заведомо слабые пароли вида user/user.

• Password live time
  Срок действия пароля в днях. По истечении указанного интервала пароль считается устаревшим и подлежит изменению пользователем в соответствии с политикой безопасности.
  В примере – 30(days).

• Password live prompt time
  Интервал, за который до истечения срока действия пароля пользователю начинают выводиться предупреждения о необходимости его смены.
  В примере – 10(days), то есть уведомления начинают отображаться за 10 дней до окончания срока действия пароля.

• User reauthentication interval
  Интервал повторной аутентификации активной сессии в минутах. При ненулевом значении по истечении указанного времени пользователю требуется повторно подтвердить свои учетные данные.
  Значение 0(minutes) означает отсутствие принудительной периодической повторной аутентификации в рамках сессии.

• Authtication max fail count
  Максимально допустимое количество последовательных неудачных попыток аутентификации для одной учетной записи или линии доступа.
  В примере – 3. По достижении этого значения срабатывает политика защиты от подбора паролей (например, временная блокировка попыток входа).

• User default ftp root path
  Базовый корневой каталог FTP для пользователей. В строке используется шаблон USERNAME, который при работе подставляется именем конкретного пользователя.
  В примере путь /ram/.user/USERNAME означает, что для пользователя monitor рабочим каталогом будет /ram/.user/monitor, для newadmin – /ram/.user/newadmin и т.д.

Рекомендации

Рекомендуется: - не использовать одинаковые логин/пароль для разных устройств; - назначать минимально необходимый уровень привилегий для каждой роли; - использовать сложные, уникальные пароли и периодически их менять; - ограничивать типы доступа (например, разрешать только SSH, запрещать Telnet); - использовать локальную базу как резервную при работе с внешними AAA-серверами.

История возникновения команды

Команды и конфигурации, приведенные в данной главе, применимы для: - аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2; - являются актуальными начиная с версии ПО v1.0.2. При использовании других серий оборудования или версий ПО необходимо уточнить поддерживаемый синтаксис в соответствующей документации.