Безопасность может быть усилена ограничением общего количества неудачных попыток аутентификации с помощью команды режима глобальной конфигурации aaa local authentication attempts max - fail. При достижении значения, указанного в этой команде, учетная запись блокируется.
Внимание. Восстановление учетной записи выполняется с помощью команды привилегированного режимаclear aaa local user lockout.
При подключении пользователя к маршрутизатору с использованием ААА, устанавливается уникальный номер сеанса, и все его параметры фиксируются в базе данных. К таким параметрам относятся тип используемого протокола, скорость соединения, объем переданной и полученной информации.
Для просмотра этих параметров используется команда show aaa user. При этом можно посмотреть все (all) сеансы или для конкретного пользователя (id). Определить ID сеанса конкретного пользователя можно с помощью команды show aaa sessions.
|
aaa local authentication attempts max-failnumber-of-unsuccessful-attempts
number - of - unsuccessful - attempts – количество попыток неверной аутентификации для учетной записи.
clear aaa local user lockout { username username | all}
username – имя, для которого сбрасывается счетчик неверных попыток аутентификации.
show aaa user {all | unique id}
рис 3-4-4
|
3-4-5 Демонстрационный пример настройки локальной аутентификации
Надо настроить локальную аутентификацию AAA на подключение к маршрутизатору R 1 по telnet для пользователей:
1. user12345 пароль pass12345.
2. user23456 пароль pass23456.
3. admin1 пароль adminpass.
Имя списка методов аутентификации example.
В качестве резервного метода аутентификации использовать пароль на вход в привилегированный режим – ciscopass.
Ограничить максимальное число неудачных попыток аутентификации тремя.
|
Картинка из 3-4-1
R1(config)#enable secret ciscopass
R1(config)#username user12345 secret pass12345
R1(config)#username user23456 secret pass23456
R1(config)#username admin1 secret adminpass
R1(config)#aaa new-model
R1(config)#aaa authentication login example local enable
R1(config)#aaa local authentication attempts max-fail 3
R1(config)#line vty 0 4
R1(config-line)#login authentication example
Результаты настройки (всплыв окно)
R 1# sh run
Building configuration...
…
enable secret 5 $1$mERr$FPJ20VOurz4bQRCfX6TQR/
…
aaa new-model
…
aaa authentication login example local enable
aaa local authentication attempts max-fail 3
…
username admin1 secret 5 $1$mERr$89oFbVUY9tU/mdjv3ClG3.
username user12345 secret 5 $1$mERr$iAVmf7e183tuRhOi42MBS0
username user23456 secret 5 $1$mERr$AoalWO/kbUDx/kKOzGf0w.
…
interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
…
interface Serial0/0/0
ip address 192.168.1.1 255.255.255.0
…
line con 0
login
line vty 0 4
login
login authentication example
!
end
рис 3-4-5
|
3-4-6 Просмотр установленных сеансов связи
Установим соединение по telnet с рабочей станции WS 1 к маршрутизатору R 1 по записи admin 1. Затем установим соединение по telnet с маршрутизатора R 2 к маршрутизатору R 1.
Теперь проверим установленные сеансы связи на маршрутизаторе R 1 с помощью команды show aaa sessions.
В результате выполнения данной команды мы можем видеть, что с маршрутизатором R1 установлено два сеанса связи.
Telnet – сессия с рабочей станции имеет Id:11 с указанием имени пользователя(admin 1) и IP адреса рабочей станции, с которой установлено соединение.
Telnet – сессия с рабочей станции имеет Id:12 с указанием имени пользователя(user 12345) и IP адреса маршрутизатора, с которого установлено соединение.
| PC>telnet 10.1.1.1
Trying 10.1.1.1...Open
User Access Verification
Username: admin1
Password: <adminpass>
R1>en
Password:<ciscopass>
R1#
R2#telnet 192.168.1.1
Trying 192.168.1.1...Open
User Access Verification
Username: user12345
Password:<pass12345>
R1>en
Password:<ciscopass>
R1#
R1#show aaa sessions
Total sessions since last reload: 7
Session Id:11
Unique Id:11
User Name:admin1
IP Address:10.1.1.2
Idle Time: 0
CT Call Handle: 0
Session Id:12
Unique Id:12
User Name:user12345
IP Address:192.168.1.2
Idle Time: 0
CT Call Handle: 0
Рис 3-4-6
|