URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 4861
[ Назад ]

Исходное сообщение
"cisco 2621"

Отправлено A Clockwork Orange , 02-Мрт-04 11:16 
Захожу на cisco без username.
После того как я сделал следующее

1. Создадим пользователя cook с нулевым уровнем привилегий
Router(config)#username cook privilege 0 password cook

2. Работать это будет только тогда, когда прописать следующее
Router(config)#aaa new-model
Router(config)#aaa authorization exec default local none

Замечательно я могу попасть под cook
НО!!!! Теперь я не могу зайти без username вообще.

Вопрос:
1. Как мне сделать что бы можно было заходить без имени как и прежде и можно было заходить под cook с 0 уровнем привелегий?
2. Я хочу сделать
username cook privilege 0 password 7 ....
но тогда я должен ввести криптованный пароль!!!! как это сделать, в результате я должен видеть в листинге криптованный пароль, но вводить его при регистрации по человечески


Содержание

Сообщения в этом обсуждении
"cisco 2621"
Отправлено ВОЛКА , 02-Мрт-04 11:58 
создать двух юзеров...

"cisco 2621"
Отправлено A Clockwork Orange , 02-Мрт-04 12:09 
Правильно я понял, что как только я деалю указанные процедуры, вход без пароля закрывается, типа включается новая модель аутентификации, по имени и паролю.
Так?

"cisco 2621"
Отправлено ВОЛКА , 02-Мрт-04 13:59 
да...

"cisco 2621"
Отправлено A Clockwork Orange , 02-Мрт-04 14:22 
Спасибо. а как мне вводить пароль назначая его открытым текстом но что бы в листинге он был зашифрован показывалось типа password 7  aerwer

"cisco 2621"
Отправлено AlexDv , 02-Мрт-04 14:49 
>Спасибо. а как мне вводить пароль назначая его открытым текстом но что
>бы в листинге он был зашифрован показывалось типа password 7  
>aerwer

service password-encryption


"cisco 2621"
Отправлено A Clockwork Orange , 02-Мрт-04 14:54 
значит когда устанавливаю должен набирато пароль
... password .... clear-text
или
... password 7 clear-text

"cisco 2621"
Отправлено ВОЛКА , 02-Мрт-04 15:41 
password .... clear-text

"cisco 2621"
Отправлено A Clockwork Orange , 02-Мрт-04 16:44 
отлично спасибо
чем отличается
enable secret
от
enable password

при команде en  срабатывет секрет, а когда действует пароль установленный при enable password
пароль установленный методом
username cook privilege 0 password cook
действует для терминального входа (но не для telnet), так ?


"cisco 2621"
Отправлено peresvet , 02-Мрт-04 17:31 
>отлично спасибо
>чем отличается
>enable secret
>от
>enable password
>
>при команде en  срабатывет секрет, а когда действует пароль установленный при
>enable password
>пароль установленный методом
>username cook privilege 0 password cook
>действует для терминального входа (но не для telnet), так ?

enable password нужен если делаешь downgrade на более старые версии IOS
там enable secret не работает

в enable secret используется другая система шифрования, более устойчивая чем в enable password


"cisco 2621"
Отправлено A Clockwork Orange , 02-Мрт-04 19:49 
Если я выствлю вышеописанным спопосбом пароль и логин, то пароль выствленный в консли работать не будет?

"cisco 2621"
Отправлено peresvet , 02-Мрт-04 20:11 
>Если я выствлю вышеописанным спопосбом пароль и логин, то пароль выствленный в
>консли работать не будет?

можно пользвателя завести используя password/secret
а уже в консоли выставлять login&password либо login local в данном случае..
как говорится, на ваше усмотрение..


"cisco 2621"
Отправлено A Clockwork Orange , 03-Мрт-04 08:52 
Что то не врубаюсь
1. Создадим пользователя cook с нулевым уровнем привилегий
Router(config)#username cook privilege 0 password cook
2. Работать это будет только тогда, когда прописать следующее
Router(config)#aaa new-model
Router(config)#aaa authorization exec default local none
когда я завожу пользователя таким образом, то при заходе по консоли или телнету используется имеено этот логин и пароль, далее при enable действует пароль который в secret.
Получается, что те пароли что установленны в консоли и в телнете не действуют
line con 0
exec-timeout 0 0
password 7 110A160B44432A38476B
login
transport input none
line aux 0
line vty 0 4
access-class 99 in
exec-timeout 0 0
password 7 094F41074A543626484D
login


Или еще можно завести пользователя отдельно для enable secret ??? (enable password)? Как тогда тут пользователя завести, как это сделать?
И тогда действуют для консоли и телнета те пароли что установления в line con, line tty, а для enable будут использоваться ЛОГИН и ПАРОЛЬ, установленные в enable secret.
Получается, что те пароли что установленны в консоли и в телнете не действуют
line con 0
exec-timeout 0 0
password 7 110A160B44432A38476B
login
transport input none
line aux 0
line vty 0 4
access-class 99 in
exec-timeout 0 0
password 7 094F41074A543626484D
login


"cisco 2621"
Отправлено starlets , 05-Мрт-04 11:31 
dlja password v chelovecheskom vide - password 0 plain_text  
a voobshte to chitat nado

"cisco 2621"
Отправлено Mr.Uef , 05-Мрт-04 19:13 
Не очень понял чего ты хочешь, но вот что я пробовал:
1. Запускаешь (вообще, ИМХО, не важно, но пусть будет)
   service password-encryption
2. Устанавливаешь пароль
router(config)>enable secret 0 1й_твой_пароль_незашифрованный
3. Заводишь юзера
router(config)>username имя_юзера secret 0 2й_твой_пароль_незашифрованный
4. Задаешь конфу для телнета:
router(config)#line vty 0 15
если пасворд ставил - снеси: router(config-line)#no password
говоришь, чтоб зырил локально
router(config-line)#login local

В результате получается:
1. Когда входишь консоли он тебе выдаетъ
router>
А на желание enable надо ввести
router>enable 1й_твой_пароль_незашифрованный

2. Когда лезешь телнетом он хочет юзера с паролем, т.е.
username: имя_юзера
password: 2й_твой_пароль_незашифрованный
После чего получаешь:
router>
А для enable надо опять
router>enable 1й_твой_пароль_незашифрованный

3. Пароли хранятся в startup-config в зашифрованном (точнее там по-моему хеш md5) виде.  Типа:
enable secret 5 зашифрованный_пароль_1
username имя_юзера secret 5 зашифрованный_пароль_2
Всякие enable password и line vty 0 15 password задавать вообще не
надо т.к. они игнорируются более крутыми зашифрованными аналогами и
используются только для совместимости с дремучими версиями.
                        
Все попробовал на 1721, думаю, что у тебя тож пойдет.


"ДЫК а ДВА пароля то на enable можно сделать !?!?!"
Отправлено Vasya K. , 27-Окт-04 12:51 
ДЫК а ДВА пароля то на enable можно сделать !?!?!

Соответственно с разными ПРИВИЛЕГИЯМИ !?!?!

Пользователей-то можно наделать сколько хочешь :-)
А вот с enable можно ?
Или хотя бы, чтобы, если по 1 вошел,
то enable не пускает, под 2 вошел - пускает.

Vasya K.