Utilizzare la seguente serie di comandi di configurazione per attivare gli ID utenti localmente:
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#username tomas password cisco
Router1(config)#username milian password class
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default local
Router1(config)#end
Router1#
Il comando username permette anche di creare le utenze senza password, specificando la parola chiave nopassword.Tuttavia, si consiglia vivamente di non farlo perché si può indebolire gravemente la sicurezza del router.L’attivazione delle utenze amministrate localmente sostituisce il sistema di autenticazione predefinito basato sulle VTY. Quando si attiva il comando aaa-new model,come mostrato, il router inizia immediatamente per richiedere username e password. L’esempio seguente mostra il prompt di login per un router che utilizza l’autenticazione locale:Gli utenti amministrati localmente vanno bene per un piccolo ambiente con un numero limitato di amministratori.
Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#username pippo nopassword
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default local
Router1(config)#end
Router1#
linux%telnet Router1
Trying 172.25.1.5...
Connected to Router1.
Escape character is '^]'.
User Access Verification
Username: tomas
Password: <password>
Router1>
Il router chiede il nome dell’utente e la password mentre confrontandolo con un accesso predefinito si comporta diversamente chiedendo solo la password:
linux%telnet Router2
Trying 172.25.1.6...
Connected to Router2.
Escape character is '^]'.
User Access Verification
Password: <password>
Router2>
Tuttavia, questo metodo non si adatta bene a una rete di grandi dimensioni con molti amministratori. Fortunatamente, Cisco supporta anche un sistema centralizzato per l’autenticazione.Quando si configurano utenti locali, il router chiede di nomi su tutte le linee, comprese le porte consol e AUX, così come le porte VTY utilizzate per le sessioni Telnet. Per evitare di bloccare il router, si dovrebbe sempre configurare con il comando username prima di utilizzare i comandi AAA. E ‘anche una buona idea utilizzare un altra sessione per testare il nuovo sistema di autenticazione prima del logout della sessione originale. Se accidentalmente bloccate il router, è necessario seguire le normali procedure di recupero password.
Router1>show users
Line User Host(s) Idle Location
66 vty 0 tomas idle 00:36:21 linux.pippo.com
67 vty 1 milian idle 00:00:24 server1.pippo.com
* 68 vty 2 pippo idle 00:00:00 linux.pippo.com
Interface User Mode Idle Peer Address
Router1>
Attraverso i file di log si può vedere quali azioni fanno i vari utenti configurati:
Jun 27 12:58:26: %SYS-5-CONFIG_I: Configured from console by tomas on vty2
(172.25.1.1)
Jun 27 13:02:22: %CLEAR-5-COUNTERS: Clear counter on all interfaces by pippo on vty2
(172.25.1.1)
Jun 27 14:00:14: %SYS-5-RELOAD: Reload requested by milian on vty0
(172.25.1.1).
Si noti che questi messaggi di log includono ora il nome dell’utente associato a ciascuna azione, in questo modo non solo sivede che cosa è stato cambiato nel file di configurazione ma anche da chi è stato editato.Per visualizzare queste informazioni, utilizzare il comando show running-config:
Router1#show running-config
Building configuration...
Current configuration : 4285 bytes
!
! Last configuration change at 12:58:26 EDT Fri Jun 27 2003 by tomas
! NVRAM config last updated at 13:01:45 EDT Fri Jun 27 2003 by milian
!
version 12.2
Il comando username dispone anche di una parola chiave autocommand, che è possibile utilizzare per assegnare un livello EXEC ad un utente particolare.
Questo è utile quando si desidera fornire un accesso limitato a un particolare comando, invece di limitare l’accesso a tutto l’apparato. Ad esempio, è possibile impostare
un nome utente speciale che chiunque potrebbe usare per eseguire un singolo comando router e poi terminare la sessione:
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#aaa new-model
Router1(config)#aaa authentication login default local
Router1(config)#aaa authorization exec default local
Router1(config)#username run nopassword noescape
Router1(config)#username run autocommand show ip interface brief
Router1(config)#end
Router1#
In questo esempio, abbiamo definito l’utente senza una password e assegnato un autocomando per lo show ip interface brief. Quando si accede al router con questo nome utente, il router non chiederà una password.E ‘appena entrerà eseguirà il comando e succesivamente terminerà la sessione:
linux% telnet Router1
Trying 172.22.1.4...
Connected to Router1.
Escape character is '^]'.
User Access Verification
Username: run
Interface IP-Address OK? Method Status Protocol
BRI0/0 unassigned YES NVRAM administratively down down
Ethernet0/0 172.25.1.8 YES NVRAM administratively down down
BRI0/0:1 unassigned YES unset administratively down down
BRI0/0:2 unassigned YES unset administratively down down
FastEthernet1/0 172.22.1.4 YES NVRAM up up
Loopback0 192.168.20.1 YES NVRAM up up
Connection closed by foreign host.
Freebsd%
Si noti che il router ha emesso il comando e poi terminato la seduta senza fornire la possibilità di emettere un altro comando.
La parola chiave noescape impedisce all’utente di emettere una sequenza di escape per accedere al router EXEC. Si consiglia vivamente di utilizzare questa parola chiave quando si utilizza autocommand.