ایجاد کاربر در روتر سیسکو – Cisco
ایجاد کاربر در روتر سیسکو – Cisco، داشتن حساب کاربری در روتر به طور کلی فرایند کاری و مکانیزم احراز هویت (ثبت وقایع) را مطمئن تر می سازد. هنگام ایجاد کاربر در روتر سیسکو، میتوانیم سطوح دسترسی متفاوتی را به کاربران مختلف اختصاص دهیم تا دسترسی به دستورات خاص را محدود نماییم. ممکن است بخواهید که یک مدیر جوان تنها چند گزارش را ببیند که به شما در عیب یابی کمک نماید، اما نمی خواهید که او بتواند چیزی را تغییر دهد.
در مثال زیر می خواهیم 2 حساب کاربری محلی اضافه نماییم، یکی با سطح امتیاز پیش فرض (0) و دیگری با سطح امتیاز کامل (15).
سطح privilege اختیاری است. در صورت کنار گذاشتن سطح پیش فرض اعمال خواهد شد.
ایجاد کاربر در روتر سیسکو – Cisco
فهرست مطالب
- ایجاد کاربر در روتر سیسکو – Cisco
- مراحل مورد نیاز ایجاد کاربر در روتر سیسکو
- پیکربندی دستورات اختیاری سیسکو
- تایید یا verification
- دستورات استفاده شده با توضیح مختصر
مراحل مورد نیاز ایجاد کاربر در روتر سیسکو
برای ایجاد حساب کاربری باید در حالت پیکربندی global باشیم. دستور بسیار ساده است، فقط یک خط.
username username password password.
ایجاد حساب های کاربری به تنهایی کافی نیست، باییستی به روتر بگوییم که از نام کاربری نیز استفاده نماید(بدون نام کاربری امکان ورود وجود نداشته باشد)! ما میتوانیم این کار را با انتخاب لاین هایی (Line) که میخواهیم آن را اعمال نماییم و دستور Login Local را صادر نماییم، انجام دهیم.
R1#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#line vty 0 ?
<1-181> Last Line number
R1(config)#line vty 0 181
R1(config-line)#login local
R1(config-line)#
پیکربندی دستورات اختیاری سیسکو
به طور پیشفرض، رمزهای عبور حساب کاربری به صورت متن واضح در پیکربندی ذخیره میشوند. ما میتوانیم از دستور سرویس رمز عبور رمزگذاری برای اعمال سطح پایه رمزگذاری روی همه رمزهای عبور متنی clear text استفاده نماییم. رمزهای عبور متنی clear text ، ضعیف در نظر گرفته می شود چرا که می توان آن را به راحتی رمزگشایی نمود. می توانید خودتان آن را با این رمزگشای آنلاین آزمایش نمایید.
بهتر است هنگام ایجاد کاربران به جای رمز عبور از رمز مخفی ( Secret ) استفاده نمایید زیرا رمزگذاری آن بسیار قوی تر است. نحو دستور به شکل زیر است:
username username secret secret password.
بیایید با فعال کردن رمز عبور سرویس و ایجاد کاربری با سطح امتیاز پیشفرض 0 و استفاده از دستور رمز شروع نماییم.
R1#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#service password-encryption
R1(config)#username SeniorAdmin password C1sc0
R1(config)#
حال کاربر دوم را ایجاد می نماییم اما این بار سطح امتیاز را روی 15 قرار می دهیم و از Secret برای تنظیم رمز عبور استفاده می نماییم.
R1(config)#username Admin ?
aaa AAA directive
access-class Restrict access by access-class
autocommand Automatically issue a command after the user logs in
callback-dialstring Callback dialstring
callback-line Associate a specific line with this callback
callback-rotary Associate a rotary group with this callback
dnis Do not require password when obtained via DNIS
nocallback-verify Do not require authentication after callback
noescape Prevent the user from using an escape character
nohangup Do not disconnect after an automatic command
nopassword No password is required for the user to log in
password Specify the password for the user
privilege Set user privilege level
secret Specify the secret for the user
user-maxlinks Limit the user’s number of inbound links
view Set view name
R1(config)#username Admin privilege ?
<0-15> User privilege level
R1(config)#username Admin privilege 15 ?
aaa AAA directive
access-class Restrict access by access-class
autocommand Automatically issue a command after the user logs in
callback-dialstring Callback dialstring
callback-line Associate a specific line with this callback
callback-rotary Associate a rotary group with this callback
dnis Do not require password when obtained via DNIS
nocallback-verify Do not require authentication after callback
noescape Prevent the user from using an escape character
nohangup Do not disconnect after an automatic command
nopassword No password is required for the user to log in
password Specify the password for the user
privilege Set user privilege level
secret Specify the secret for the user
user-maxlinks Limit the user’s number of inbound links
view Set view name
R1(config)#username Admin privilege 15 secret C1sc0
R1(config)#
تنها فرایندی که بایستی اجرا نماییم این است که به روتر دستور دهیم از پایگاه داده محلی هنگام ورود به لاین (Line) مورد نظر استفاده نماید. در اینجا نحوه تنظیم آن تنها در لاین کنسول آمده است.
R1#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#line console 0
R1(config-line)#login local
R1(config-line)#
تایید یا verification
از سیستم خارج شوید و به عنوان SeniorAdmin وارد شوید. سطح دسترسی 0 لحاظ گردیده است.
R1#conf terminal
R1 con0 is now available
Press RETURN to get started.
User Access Verification
Username: SeniorAdmin
Password:
R1>
دوباره از سیستم خارج شوید و به عنوان Admin وارد شوید.
R1#conf terminal
R1 con0 is now available
Press RETURN to get started.
User Access Verification
Username: Admin
Password:
R1#copy run start
Destination filename [startup-config]?
Building configuration…
[OK]
R1#
آیا تفاوت دسترسی قابل مشاهده می باشد؟ از آنجایی که SeniorAdmin سطح امتیاز 0 دارد، وقتی وارد سیستم می شود به حالت EXEC یا executive می باشد. اگر می خواهد پیکربندی در حال اجرا را ببیند یا تغییراتی ایجاد نماید، باید رمز عبور فعال یا رمزهای عبور مخفی را فعال نماید (هر کدام که پیکربندی شده است)، در حالی که کاربر Admin مستقیماً به حالت Privileged میرسد و میتواند بدون نیاز به وارد کردن رمز دیگری شروع به پیکربندی نماید.
به جای اعمال فرمان محلی ورود به سیستم login local در لاین های خاص، می توانید با استفاده از دستورات پیکربندی Global زیر، آن را به شکل پیش فرض احراز هویت در تمام لاین ها تبدیل نمایید:
R1(config)#aaa new-model
R1(config)#aaa authentication login default local
هنگامی که از این روش استفاده می شود، همه کاربران بدون در نظر گرفتن سطح امتیاز خود وارد حالت EXEC می شوند! اگر رمز عبور فعال یا رمز فعال تنظیم نشده باشد، نمی توانند وارد حالت Privileged شوند!
پیکربندی در حال اجرا را برای نام های کاربری بررسی نمایید.
R1#show run | section username
username AUTH_R2 password 7 00364313100819
username JuniorAdmin password 7 08021D5D0A49
username Admin privilege 15 secret 5 $1$E9mL$mNFzh1/nqz4nhA.rLm8fp0
R1#
به تفاوت رمزگذاری رمز عبور و Secret یا رمز مخفی توجه نمایید! رمز Secret مخفی به نظر می رسد – و به همین دلیل بسیار پیچیده تر است!
یک نکته اضافی دیگر. به یاد داشته باشید، این آموزش را با گفتن اینکه داشتن حساب های کاربری، ورود به سیستم را آسان تر می نمایند، آغاز نمودیم ؟ به این قطعه از پیکربندی در حال اجرا نگاهی بیندازید.
R1#show run
Building configuration…
Current configuration : 1013 bytes
!
! NVRAM config last updated at 21:30:19 UTC Sat Feb 5 2011 by Admin
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
–More–
اگر زمان و تاریخ روی روتر تنظیم شده باشد، فایل پیکربندی یک مهر زمانی و نام کاربری که آخرین بار آن را ذخیره نموده است را ذخیره می نماید.
دستورات استفاده شده با توضیح مختصر:
رمزگذاری سبک را در تمام رمزهای عبور متنی روشن فعال می نماید |
service password-encryption |
کاربری به نام JuniorAdmin با رمز عبور C1sc0 ایجاد می نماید |
username JuniorAdmin password C1sc0 |
کاربری به نام Admin با سطح امتیاز 15 و رمز عبور قوی ایجاد می نماید |
username Admin privilege 15 secret C1sc0 |
لاین کنسول را انتخاب می نماید |
line console 0 |
به روتر دستور می دهد تا از پایگاه داده محلی برای احراز هویت در هنگام ورود به سیستم به جای رمز عبور خط (در صورت وجود یک مجموعه) استفاده نماید. |
login local |
پیکربندی در حال اجرا را در NVRAM ذخیره می نماید |
copy run start |
بخش نام کاربری را از پیکربندی در حال اجرا نشان می دهد |
show run | section username |
عالی
تشکر فراوان از شما