Assegnare un utenza (o gruppo) a un apparato Cisco
Utilizzare la seguente serie di comandi di configurazione per attivare gli ID utenti localmente:
Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#username tomas password cisco Router1(config)#username milian password class Router1(config)#aaa new-model Router1(config)#aaa authentication login default local Router1(config)#end Router1#
Il comando username permette anche di creare le utenze senza password, specificando la parola chiave nopassword.Tuttavia, si consiglia vivamente di non farlo perché si può indebolire gravemente la sicurezza del router.L’attivazione delle utenze amministrate localmente sostituisce il sistema di autenticazione predefinito basato sulle VTY. Quando si attiva il comando aaa-new model,come mostrato, il router inizia immediatamente per richiedere username e password. L’esempio seguente mostra il prompt di login per un router che utilizza l’autenticazione locale:Gli utenti amministrati localmente vanno bene per un piccolo ambiente con un numero limitato di amministratori.
Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#username pippo nopassword Router1(config)#aaa new-model Router1(config)#aaa authentication login default local Router1(config)#end Router1# linux%telnet Router1 Trying 172.25.1.5... Connected to Router1. Escape character is '^]'. User Access Verification Username: tomas Password: <password> Router1>
Il router chiede il nome dell’utente e la password mentre confrontandolo con un accesso predefinito si comporta diversamente chiedendo solo la password:
linux%telnet Router2 Trying 172.25.1.6... Connected to Router2. Escape character is '^]'. User Access Verification Password: <password> Router2>
Tuttavia, questo metodo non si adatta bene a una rete di grandi dimensioni con molti amministratori. Fortunatamente, Cisco supporta anche un sistema centralizzato per l’autenticazione.Quando si configurano utenti locali, il router chiede di nomi su tutte le linee, comprese le porte consol e AUX, così come le porte VTY utilizzate per le sessioni Telnet. Per evitare di bloccare il router, si dovrebbe sempre configurare con il comando username prima di utilizzare i comandi AAA. E ‘anche una buona idea utilizzare un altra sessione per testare il nuovo sistema di autenticazione prima del logout della sessione originale. Se accidentalmente bloccate il router, è necessario seguire le normali procedure di recupero password.
Router1>show users Line User Host(s) Idle Location 66 vty 0 tomas idle 00:36:21 linux.pippo.com 67 vty 1 milian idle 00:00:24 server1.pippo.com * 68 vty 2 pippo idle 00:00:00 linux.pippo.com Interface User Mode Idle Peer Address Router1>
Attraverso i file di log si può vedere quali azioni fanno i vari utenti configurati:
Jun 27 12:58:26: %SYS-5-CONFIG_I: Configured from console by tomas on vty2 (172.25.1.1) Jun 27 13:02:22: %CLEAR-5-COUNTERS: Clear counter on all interfaces by pippo on vty2 (172.25.1.1) Jun 27 14:00:14: %SYS-5-RELOAD: Reload requested by milian on vty0 (172.25.1.1).
Si noti che questi messaggi di log includono ora il nome dell’utente associato a ciascuna azione, in questo modo non solo sivede che cosa è stato cambiato nel file di configurazione ma anche da chi è stato editato.Per visualizzare queste informazioni, utilizzare il comando show running-config:
Router1#show running-config Building configuration... Current configuration : 4285 bytes ! ! Last configuration change at 12:58:26 EDT Fri Jun 27 2003 by tomas ! NVRAM config last updated at 13:01:45 EDT Fri Jun 27 2003 by milian ! version 12.2
Il comando username dispone anche di una parola chiave autocommand, che è possibile utilizzare per assegnare un livello EXEC ad un utente particolare.
Questo è utile quando si desidera fornire un accesso limitato a un particolare comando, invece di limitare l’accesso a tutto l’apparato. Ad esempio, è possibile impostare
un nome utente speciale che chiunque potrebbe usare per eseguire un singolo comando router e poi terminare la sessione:
Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#aaa new-model Router1(config)#aaa authentication login default local Router1(config)#aaa authorization exec default local Router1(config)#username run nopassword noescape Router1(config)#username run autocommand show ip interface brief Router1(config)#end Router1#
In questo esempio, abbiamo definito l’utente senza una password e assegnato un autocomando per lo show ip interface brief. Quando si accede al router con questo nome utente, il router non chiederà una password.E ‘appena entrerà eseguirà il comando e succesivamente terminerà la sessione:
linux% telnet Router1 Trying 172.22.1.4... Connected to Router1. Escape character is '^]'. User Access Verification Username: run Interface IP-Address OK? Method Status Protocol BRI0/0 unassigned YES NVRAM administratively down down Ethernet0/0 172.25.1.8 YES NVRAM administratively down down BRI0/0:1 unassigned YES unset administratively down down BRI0/0:2 unassigned YES unset administratively down down FastEthernet1/0 172.22.1.4 YES NVRAM up up Loopback0 192.168.20.1 YES NVRAM up up Connection closed by foreign host. Freebsd%
Si noti che il router ha emesso il comando e poi terminato la seduta senza fornire la possibilità di emettere un altro comando.
La parola chiave noescape impedisce all’utente di emettere una sequenza di escape per accedere al router EXEC. Si consiglia vivamente di utilizzare questa parola chiave quando si utilizza autocommand.
