miércoles, 18 de marzo de 2009

Autenticación local de usuarios en IOS

Este es otro artículo que contiene algo bastante viejo, pero que no todo el mundo usa.

Como sabemos para entrar por consola/vty al IOS de un equipo cisco solo hace falta ingresar el password de usuario no privilegiado sin tener en cuenta un nombre de usuario.


Router con0 is now available

Press RETURN to get started.

User Access Verification

Password:
Router>

Esto se puede mejorar si decimos al equipo que pida usuario y password para poder entrar.

Para esto vamos a configurar la llamada autenticación local de la siguiente forma:
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#username usuario1 secret password1
Router(config)#username usuario2 secret password2
Router(config)#line con 0
Router(config-line)#login local
Router(config-line)#exit
Router(config)#line vty 0 4
Router(config-line)#login local
Router(config-line)#end

Con esto al salir obtendremos el siguiente mensaje de login:
Router con0 is now available

Press RETURN to get started.

User Access Verification

Username: usuario1
Password:
Router>

Ahora, si queremos entrar directamente como usuario privilegiado vamos a usar el parametro privilege durante la creación de los usuarios.
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#username usuario1 privilege 15 secret password1
Router(config)#username usuario2 privilege 15 secret password2

Donde el privilegio va desde 0 a 15, 1 es usuario sin privilegios y 15 es el famoso usuario 'enable'.

Todos los números intermedios sirven para que si en algún momento necesitamos armar un esquema de seguridad diferente, podamos asignar comandos a un determinado a un usuario que tenga por lo menos un privilegio mayor a algún número.

Por ejemplo, vamos a hacer dos usuarios:

  • Usuario monitor que solo tiene acceso a los comandos no privilegiados y no puede usar el comando enable.

  • Usuario administrador que tiene acceso total al CLI.

  • Requerir un privilegio mayor o igual a 2 para ejecutar el comando enable.


Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#username monitor privilege 1 secret monitor
Router(config)#username administrador privilege 15 secret p@$$w0rd
Router(config)#privilege exec level 2 enable

Una vez terminado este trabajo podemos probar...
Router con0 is now available

Press RETURN to get started.

User Access Verification

Username: administrador
Password:
Router#

Ahora el usuario sin privilegios:
Router con0 is now available

Press RETURN to get started.

User Access Verification

Username: monitor
Password:
Router>ena
Translating "ena"...domain server (255.255.255.255)
 (255.255.255.255)
Translating "ena"...domain server (255.255.255.255)

% Unknown command or computer name, or unable to find computer address
Router>enable
Translating "enable"...domain server (255.255.255.255)
 (255.255.255.255)
Translating "enable"...domain server (255.255.255.255)

% Unknown command or computer name, or unable to find computer address
Router>ena?
% Unrecognized command
Router>e?
emm  ethernet  exit

Espero que les sirva para sus implementaciones.

Hasta la próxima.
Publicado por Ariel S. Weher en 12:51
Etiquetas: , , , , , , , , , ,

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)