Я использую секретное имя пользователя для добавления пользователей с зашифрованными паролями к нашим коммутаторам и межсетевому экрану.
Я несколько часов боролся с одними и теми же коммутаторами и брандмауэром, пытаясь получить надежно сгенерированные жесткие пароли для всех администраторов. Иногда пароли входили в конфигурацию, но не работали для входа в систему.
В соответствии с документация для включить секрет пароль не должен начинаться с цифры и ? должен быть введен как Ctrl-V затем ? чтобы избежать этого.
Я следил за этим и все еще получал пароли, которые иногда не мог использовать. Когда я побежал, ошибки не было имя пользователя, но пароль будет отклонен при входе в систему некоторыми, но не всеми коммутаторами. Они все WS-C2960-48PST-L. Пароли, которые ему не нравились, содержали обратные галочки "` "(этот символ под тильдой ~ под Esc).
Переключатели "некорректного поведения" работают:
Программное обеспечение Cisco IOS, программное обеспечение C2960 (C2960-LANBASEK9-M), версия 12.2 (50) SE5, ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ВЫПУСКА (fc1)
«Рабочие» переключатели работают:
Программное обеспечение Cisco IOS, программное обеспечение C2960 (C2960-LANBASEK9-M), версия 12.2 (46) SE, ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ВЫПУСКА (fc2).
«Неправильные» переключатели работают под управлением более новой IOS, поэтому это предполагает регресс, введенный где-то между 12,2 (46) ЮВ и 12,2 (50) SE5. Мне не удалось найти никаких доказательств того, что это было намеренно. примечания к выпуску 12.2 (50) SE.
Хотелось бы избежать этого при следующей смене паролей :)
Какие символы недопустимы в секретных паролях имени пользователя Cisco IOS?
Спасибо за помощь :)
Я столкнулся с аналогичной проблемой у предыдущего работодателя.
Вместо того, чтобы постоянно бороться с этой проблемой, я решил использовать строго буквенно-цифровой пароль. Вы действительно теряете пару бит энтропии в своем пароле, вводя строго буквенно-цифровой код, но это достаточно легко компенсировать добавлением дополнительных двух-трех символов к вашему паролю.
Это может быть невозможно в зависимости от ваших политик, но я обнаружил, что это самое чистое решение для того оборудования, которому нельзя доверять со специальными символами. На самом деле мы разработали специальный раздел для этих устройств, основанный на поддержании минимального количества энтропии вместо стандартного набора 1 буква / 1 число / 1 символ.
Каждый тип пароля чувствителен к регистру, может содержать от 1 до 25 буквенно-цифровых символов в верхнем и нижнем регистре и может начинаться с цифры. Пробелы также являются допустимыми символами пароля; например, «два слова» - действительный пароль. Начальные пробелы игнорируются, но конечные пробелы распознаются.
Взято из: http://www.cisco.com/en/US/docs/ios/preface/usingios.html
Судя по документации, ограничений на создание паролей не так много. Есть ли show login создать журнал неудачных попыток входа в систему? Возможно ли, что пользователи неправильно вводят пароли?