3.2. Управление пользователями
Назначение
Функциональная возможность управления пользователями повышает безопасность системы и предотвращает нежелательные действия пользователей, позволяя разграничивать их права доступа.
Описание
Пользователь ограничен определенным количеством попыток входа в коммутатор. Количество попыток может быть изменено при помощи команды login-security. Подробнее см. в Справочнике по командам.
Коммутатор поддерживает три способа аутентификации пользователей при подключении через VTY или консоль:
Способ аутентификации |
Описание |
|---|---|
No login |
Без аутентификации |
Login |
Запрашивается только пароль |
Login local |
Запрашивается логин/пароль локального пользователя |
Коммутатор позволяет создать не более 32 локальных учетных записей. Могут быть настроены локальные учетные записи для пользователей, путем создания уникальных комбинаций имен пользователей и паролей для каждого из них. Имя пользователя должно содержать менее 32 символов. Может быть настроен уровень прав доступа для каждой локальной учетной записи пользователя: 1 - 4. Для каждого локального пользователя отображаются только команды, доступные для его уровня прав доступа. Список доступных для текущего пользователя команд можно вывести при помощи контекстной справки (ввода ? после системной подсказки).
Настройка
Настройка способа аутентификации Login local
Шаг 1: Вход в режим Global Config
Switch# configure terminal
Шаг 2: Установка имени пользователя и пароля
Switch(config)# username testname privilege 4 password 123abc
Шаг 3: Применение команды Login local
Switch(config)# line vty 0 7
Switch(config-line)# login local
Switch(config-line)# exit
Шаг 4: Выход из режима Global Config
Switch(config)# exit
Шаг 5: Проверка
Вход в систему с использованием имени пользователя и пароля, созданных ранее.
Результат успешного входа в систему:
PC> telnet 192.168.1.1
Connected to 192.168.1.1.
Entering character mode
Escape character is '^]'.
Username: testname
Password:
Switch#
Настройка способа аутентификации Login
Шаг 1: Вход в режим Global Config
Switch# configure terminal
Шаг 2: Установка ппароля и способа аутентификации Login
Switch(config)# line vty 0 7
Switch(config-line)# line-password abc
Switch(config-line)# login
Важно!
Необходимо запомнить свое имя пользователя и пароль! Сброс пароля приведет к прерыванию сетевого трафика, а также может привести к потере текущей конфигурации!
Шаг 3: Выход из режима Global Config
Switch(config)# exit
Шаг 4: Проверка
Вход в систему с использованием пароля, установленного ранее.
Результат входа в систему:
PC> telnet 192.168.1.1
Connected to 192.168.1.1.
Escape character is '^]'.
Password:
Switch#
Привилегии пользователей
При создании пользователя можно присвоить ему один из четырех уровней привилегий ( если уровень не присвоить, то по умолчанию присваивается уровень 1).
Таблица соответствия уровней привилегий пользователя с режимами ввода команд и соответствующими списками команд:
Username (имя пользователя) |
Privilege (уровень привилегий) |
Вход в |
Список команд в Privileged EXEC |
Список команд в Global Config |
|---|---|---|---|---|
User1 |
1 |
Default EXEC |
Отсутствует |
Отсутствует |
User2 |
2 |
Privileged EXEC |
Не полный (список команд приведен ниже) |
Отсутствует |
User3 |
3 |
Privileged EXEC |
Как в Privilege 2 + |
Не полный (список команд приведен ниже) |
+ |
||||
+ |
||||
+ |
||||
Admin |
4 |
Privileged EXEC |
Как в Privilege 3 + |
Как в Privilege 3 + |
+ |
+ |
|||
+ |
+ |
|||
+ |
+ |
|||
+ |
+ |
|||
+ |
+ |
|||
+ |
+ |
|||
+ |
+ |
|||
+ |
+ |
|||
+ |
+ |
|||
+ |
||||
+ |
||||
+ |
||||
+ |
||||
+ |
||||
+ |
User1 c Privilege 1 попадает только в Default EXEC. Для перехода в Privileged EXEC потребуется дополнительная аутентификация (ввод пароля после команды enable). Для всех уровней привилегий набор команд в Default EXEC одинаковый.
Switch# ssh -l user1 mgmt-if 192.168.1.1
user1@192.168.1.1's password:
Switch> ena
% No password has been assigned yet
Switch> ?
Exec commands:
cd System command cd
dir System command ls
disable Disable
enable Enable
ethernet Ethernet Configuration Commands
exit Exit from the EXEC
help Description of the interactive help system
logout Exit from the EXEC
ls System command ls
md5sum System command md5sum
no Negate a command or set its defaults
ping Send echo messages
pwd System command pwd
quit Exit from the EXEC
ssh Open a secure shell client connection
telnet Open a telnet connection
terminal Set terminal line parameters
traceroute Trace route to destination
Switch>
User2 c Privilege 2 попадает в Privileged EXEC. Перейти в Global Config он уже не может. Список команд в Privileged EXEC следующий:
Switch# ssh -l user2 mgmt-if 192.168.1.1
user2@192.168.1.1's password:
Switch# ?
Exec commands:
boot Specify boot parameter
cd System command cd
clear Reset functions
cpu-traffic-protect Set cpu traffic protect
debug Debugging functions
dhcp Specify DHCP parameter
dir System command ls
disable Disable
enable Enable
ethernet Ethernet Configuration Commands
exit Exit from the EXEC
help Description of the interactive help system
l2 Layer 2 ping
logging Specify logging parameter
logout Exit from the EXEC
ls System command ls
md5sum System command md5sum
monitor Monitoring system traffic
no Negate a command or set its defaults
ping Send echo messages
pwd System command pwd
quit Exit from the EXEC
set Set device attribute
show Show running system information
ssh Open a secure shell client connection
start Start vct function
telnet Open a telnet connection
terminal Set terminal line parameters
traceroute Trace route to destination
udld UniDirectional Link Detectional
Switch#
User3 c Privilege 3 попадает в Privilege EXEC. Список команд в Priveleged EXEC больше относительно списка для User2 (см. в таблице выше). Для перехода в Glogal Config нужно выполнить команду configure terminal. Список команд в Global Config следующий:
Switch# ssh -l user3 mgmt-if 192.168.1.1
user3@192.168.1.1's password:
Switch# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ?
Configure commands:
acl-statistics Acl statistics
arp Arp acl configuration
bfd Bidirectional Forwarding Detection (BFD)
bgp Border Gateway Protocol (BGP)
class-map Class map command
clock Manage the system clock
control-plane Control plane
cpu-limit Specify CPU limit configuration, throttle the CPU usage of one process
cpu-traffic-limit Set cpu traffic limit characteristics
cpu-traffic-protect Set cpu traffic protect
cpu-traffic-statistics Set cpu traffic statistics characteristics
cut-through-forwarding Cut through forwarding mode
dhcp Specify DHCP parameter
dhcp-server Specify DHCP server parameter
dhcpv6 Specify DHCPv6 parameter
dhcpv6-server Specify DHCPv6 server parameter
diagnostic Diagnostic config
diagnostic-information diagnostic-information
dns DNS configuration
do To run exec commands in config mode
dot1x IEEE 802.1X Port-Based Access Control
ecmp Equal cost multi-path routing
efd Elephant flow detect
end End current mode and change to EXEC mode
erps Ethernet ring automatic recovery
errdisable Error disable
ethernet Configure layer-2
evpn Ethernet VPN
exit End current mode and down to previous mode
fan Fan speed configuration
ftp Specify FTP parameters
global-acl Global Acl
gmrp GARP Multicast Registration Protocol
gratuitous-arp-learning Gratuitous Arp learning function
gvrp GARP Vlan Registration Protocol
hardware Hardware
hash-field Hash field of load balance
hash-value Hash value of load balance
heart-beat-monitor Heart beat monitor function
help Description of the interactive help system
hostname Set system's network name
http HTTP service
interface Select an interface to configure
ip Internet Protocol (IP)
ipfix IP Information Export(IPFIX)
ipg Inter-Packet Gap
ipv6 Internet Protocol version 6 (IPv6)
key Authentication key management
l2protocol Configure Layer2 Protocol
lacp LACP commands
led Set led mode
line Configure a terminal line
lldp Link Layer Discovery Protocol
load Load configuration
logging Specify logging parameter
loopback-detect Loopback Detect Function
mac Global MAC configuration subcommands
mac-address-table Configure the MAC address table
management Management interface configuration
max-static-routes Set maximum static routes number
max-static-v6routes Set maximum static IPv6 routes number
mfp Micro Flow Policer(MFP)
mlag Configure MLAG specific attributes
monitor Monitoring system traffic
monitor-link Monitor link function
multi-link Multi-Link
mvr Enable/Disable MVR on the switch
mvr6 Enable/Disable MVR6 on the switch
no Negate a command or set its defaults
ntp NTP configuration
ospf Start OSPF configuration
overlay Configure Overlay parameters
performance-monitor Performance Monitor
poe poe layer
policy-map Policy map command
port-bridge Switch port bridge
port-channel EtherChannel commands
port-group Port-group
port-isolate Port isolate
priority-flow-control Priority-Flow-Control
ptp Precision Time Protocol (IEEE1588)
qos Quality of Service
quit Exit current mode and down to previous mode
raw Configure raw vlan group
reset Reset
rmon Remote Monitoring Protocol (RMON)
route-map Create route-map or enter route-map command mode
router Enable a routing process
router-id Router identifier for this system
schedule Schedule parameters
selective Selective qinq type
service Set up miscellaneous service
sflow Sampled flow
smart-buffer Smart buffer
smart-config SmartConfig
smart-link Smart-Link
snmp-server Specify SNMP configuration
spanning-tree Spanning tree commands
speed-mode speed mode
split Split interface
stack Stack
startup-config startup config
stm Switch table management
switch Switch media type
sysmon System monitor
table-map Configure Table Map
temperature Temperature threshold configuration
time-range Define time range entries
track Enable a track process
udld UniDirectional Link Detectional
update Update system
user-define User define
vlan Configure VLAN parameters
vlan-group Vlan-group
voice Voice vlan
vrrp Virtual Redundancy Routing Protocol (VRRP)
Admin c Privilege 4 попадает в Privilege EXEC. Список команд в Priveleged EXEC без ограничений и больше относительно списка User3 (см. в таблице выше). Для перехода в Glogal Config нужно выполнить команду configure terminal. Список команд в Global Config полный и больше относительно списка User3 (см. в таблице выше).
Примечание
Примеры выводов списков доступных команд для разных уровней привилегий реализованы на AqNOS версии 7.6.1.
Политика сложности паролей
Политика сложности паролей позволяет задать централизованные требования к паролям. Доступные параметры включают уровень сложности, минимальную и максимальную длину, требования к составу символов, количество изменяемых символов при смене пароля, а также срок его действия с предупреждением об истечении.
Внимание!
Изменение уровня сложности пароля командой password-complexity mode вступает в силу после перезагрузки коммутатора. Все существующие пароли, не соответствующие новым требованиям, при этом удаляются.
Уровни сложности пароля
Режим проверки задаётся командой password-complexity mode.
Режим |
Описание |
|---|---|
strong |
Режим по умолчанию. Минимальная длина пароля — 8 символов. Пароль должен содержать символы не менее двух типов: буквы (заглавные или строчные), цифры, специальные символы (например, !, #, $) |
normal |
Минимальная длина пароля — 8 символов. Требования к составу символов отсутствуют |
none |
Проверка сложности отключена |
Начиная с версии AqNOS 7.5.2 пользователь может задать дополнительные требования к паролю, которые будут применяться наряду с выбранным уровнем сложности.
Команда |
Описание |
Диапазон |
По умолчанию |
|---|---|---|---|
|
Минимальная длина пароля |
8-63 |
8 |
|
Максимальная длина пароля |
8-63 |
8 |
|
Минимальное количество символов, которые должны отличаться в новом пароле от старого |
0 – значение max-length |
0 |
|
Минимальное количество цифр в пароле |
0 – значение max-length |
0 |
|
Минимальное количество специальных символов в пароле |
0 – значение max-length |
0 |
Важно!
После перезагрузки будут удалены все пароли, не соответствующие установленному уровню сложности.
Срок действия пароля
Пользователь может задать срок действия пароля и время предупреждения до истечения срока действия пароля. Ранее эти настройки задавались командой login-password, теперь они объединены в контексте password-complexity.
Команда |
Описание |
Диапазон |
|---|---|---|
|
Задаёт срок действия пароля в днях (expire) и количество дней до истечения срока, за которое начинает выводиться предупреждение (prompt). Значение 0 для expire отключает проверку срока действия |
expire: 0–365 |
prompt: 0–180 |
Подсказка
По умолчанию отсчёт срока действия начинается заново после каждой перезагрузки.
Системные сообщения при смене пароля
В некоторых случаях при настройке или смене пароля система может выдать предупреждение:
Warning: The initial password poses security risks.
Это информационное сообщение не является ошибкой. Оно может появиться в следующих ситуациях, связанных с системным временем:
Системная дата была сброшена на 1 января 1970 года.
Установка системной даты выполнена после настройки пароля, и новая дата оказалась раньше предыдущей.
В таких случаях рекомендуется проверить корректность системного времени и при необходимости переустановить пароль.