Примечание. Все пароли были заменены или отредактированы.
Я пытаюсь создать учетную запись (прогорклое репо), которая может использовать команду «show run» без включения и использования второго пароля.
Прямо сейчас я добавляю пользователя lion с помощью команды «username lion privilege 15 secret raplegend», но когда я вхожу в систему как этот пользователь с raplegend пароля, я не могу выполнить команду «sh run», не выполнив
включить
пароль: reggaegod
Вот соответствующие части файла рабочей конфигурации. Для удобства я заменил хэши паролей поддельным открытым текстом.
version 12.2
enable secret 5 [redacted]
!
username snoop privilege 15 secret 5 raplegend
username lion privilege 15 secret 5 raplegend
aaa new-model
!
line con 0
line vty 0 4
password 7 reggaegod
transport input ssh
line vty 5 15
password 7 reggaegod
transport input ssh
!
Что мне здесь не хватает? Спасибо!
Я быстро протестировал это на 12.2 (46a), и мне нужно было добавить следующее, чтобы заставить его работать:
aaa authorization exec default local
Конечно, если вы используете больше, чем просто локальные учетные записи (например, TACACS +), вам необходимо изменить инструкцию, чтобы приспособить эти учетные записи. Убедитесь, что вы протестировали его с другим сеансом SSH, прежде чем выходить из первого, потому что вы не сможете войти, чтобы исправить это, если он не сработает.
Кроме того, поскольку ааа новая модель настроен, конфигурация по умолчанию для линий VTY эквивалентна старому местный местный команда, поэтому пароль команды не нужны.
Если вы используете TACACS или RADIUS, вам нужно будет вернуть значение пары av, чтобы эта учетная запись была автоматически повышена до уровня включения. Av-пара Google TACACS.