Cisco Router, benutzer erstellen

[Akaria]

Hallo,

ich hab hier einen Router aus der cisco 2600er - Serie.

Ich hab auch die Zertifikate, aber das was ich gerne wissen möchte, kommt nicht in den Semestern vor.

Also ich weiß, dass man hier Benutzer einrichten kann (mit PW), so dass diese von der Ferne aus den Router Konfigurieren können (je nach Einstellung der Rechte). Nur ist jetzt die Frage, wie das geht. Ich hab schon eine Weile gesucht aber leider nichts passendes gefunden.

Wenn einer eine Ahnung hat, wie die Befehle zur Erstellung und der Rechte vergabe lauten, wäre ich sehr dankbar. Achja, die Aktivierung des logins bräuchte ich auch.

[Crash2001]

Ich bin mir 100% sicher, dass das im CCNA vorkommt. Das ist grundlegendes Wissen und findet man auch durch ein wenig ausprobieren, bzw nutzen der Hilfefunktionen vom IOS selber raus...

Als Hilfe zur Suche die Stichwörte line vty 0 4 , login local und username password

Ansonsten klick mal hier :hells:

Bearbeitet 12. August 2008 von Crash2001

[Akaria]

Hi.

Das vty 0 4 hab ich bis jetzt immer nur für telnet genutzt... weiter hab ich da garnicht gedacht. Hab das jetzt aber mit deinen kommentar eingermaßen hinbekommen. Aber noch nicht so wie ich mir das wünsche.

Also ich hab jetzt nen Benutzer erstellt, der mit garnichts nützt. Hab jetzt auch ein PW aber das wird am anfang bevor ich überhaupt im Benutzermodus bin abgefrag. Soweit so gut, ich will nur gerne, dass auch der Benutzer abgefragt wird und dieser vorher Rechte vergeben bekommt, so dass Benuter a konfigurieren kann und Benutzer b nur im Privilegierten Modus arbeiten kann.

Also wie setzte ich für einen bestimmten benuter ein PW und mach ich den Login mit benutzern??

Achja, bin mich schon den ganzen Morgen am durch die Hilfe am kicken und hier und da was am Ausprobieren, geholfen hat mir das nicht. dafür ist das Menü einfach zu groß...Selbst mit ausschließen was es nicht ist...

[Akaria]

Nachtrag

Hab das ganze jetzt nochmal mit

router(config)#: line vty 0 4

probiert, das geht das mit dem login vorweg garnicht.

Vorher hatte ich:

router(config)#:line con 0

router(config-line)#: password xxx

router(config-line)#: login

Nagut, vty 0 4 sind alle virtuellen ports und con 0 ist einfach der Konsolenport. Aber verstehen tu ich trotzdem nicht, wie ich die Benutzer da einbinde. Ich glaube das mit username und PW geht irgendwie anders....

[Crash2001]

Line vty 0 4 gibt ja nur an, dass bis zu 5 User sich von der Ferne auf den Router connecten können - also dass quasi 5 Channels für sie frei sind.

Man kann dann mittels transport input all/none/ssh/telnet angeben, was alles erlaubt ist. Also z.B. nur SSH-Zugriff erlauben oder nur telnet.

Hab hier grad keinen Router, auf dem ich rumklimpern kann/darf, aber grob musst du das so machen:

enable

conf t

username [user] password [password] <-- legt in der lokalen Datenbank User [user] mit Passwort [password] an

Line vty 0 4

transport input telnet ssh

Login local <-- dadurch benutzt er die lokale Datenbank, in der der user eingetragen wurde

end

[Akaria]

Danke schön, aber mal noch ne doofe Frage (sorry wenn ich dich nerve).

Die Zeile mit dem

transport input telnet ssh

funktioniert nicht wirklich. Hab mich jetzt mal mit der Hilfe funktion mal weiter gearbeitet.

Also transport ist wunderbar... aber das input... finde dass output besser passen würde, geb dir mal eben die erklärung vom router.

output = Define which protocols to use for outgoing connections

Also welche Protokolle genutzt werden durfen bei Verbindungen von Außen.

input = Define which protocols to use when connecting to the terminal server

Also welche Protokolle genutzt werden würfen wenn eine Verbindung zum terminal server besteht

So würde ich mir das jetzt übersetzten.

ABER... egal ob input oder output, ich hab bei beiden die möglichkeit telnet zu wählen aber kein ssh...

selbst wenn ich es 2 mal eingeben sollte... ssh steht nie zur auswahl. Muss ich das irgenwie anders einbinden? Ich meine sicher sollte die Verbindung schon sein...

Danke schonmal

PS: Mach den Router da nicht kaputt, will nicht für ärger verantwortlich sein. Bin auch schon für vermutungen dankbar...

[Akaria]

nochmal Nachtrag (ich weiß ich nerve, sorry)

Kann ich diese Eingrenzung nur anhand von Protokollen vornehmen oder auch sagen, der darf nur in den Modus und der andere nur bis dahin?

denn diese eingabe mit dem input, output, preferred, bezieht sich ja nur auf die protokolle... muss es nicht irgendwo ne tabelle geben wo man die rechte der benuter einstellen kann (sofern das mit den Modus einstellungen möglich ist).

[Crash2001]

Wenn dein IOS kein SSH unterstützt, dann kann man das natürlich da auch nicht auswählen.

Das transport input ssh/telnet/all/none bezieht sich darauf, worüber man sich bei ihm einloggen kann. Wenn er eh kein SSH kann, kannst du das eigentlich auch weg lassen. Das ist rein für die tty 0 bis 4 und hat nichts mit dem sonstigen Traffic zu tun. Den kannst du per access-list einschränken.

Wer in welchen Modus können darf ist afaik nur per Tacacs+ möglich einzustellen.

Bearbeitet 12. August 2008 von Crash2001

[Akaria]

Klasse, bist echt ne Hilfe. Wäre nie alleine so weit gekommen.

Das mit den TACACS+ ist klasse, das trifft genau das was ich gesucht habe (laut wikipedias beschreibung ) Werde mal schauen was der Router da alles zu bieten hat und wie ich das alles einstelle... *Bastelstunde*

[Akaria]

So ich hab ein wenig gebastelt, und nun bin ich total verwirrt oder auch nicht... aufjeden fall hab ich jetzt (meiner Meinung nach) ne recht doofe Frage.

also Zitat wikipedia:

Terminal Access Controller Access Control System (TACACS) [...] dient der Client-Server-Kommunikation zwischen AAA-Servern und einem Network Access Server (NAS).

Ich dachte vorher, dass man diese Tacacs in dem Router konfiguriert und fertig ist. nichts mit servern *keine Ahnung von Servern hab*. Muss ich jetzt noch nen server basteln und an den Router hängen oder ist hier mit Server eine Anwendung (nenn es mal so was besseres fällt mir gerade nicht ein)... gemeint, welche auf dem Router Konfiguriert wird, wie ich mir das vorgestellt hatte.

Bin total verwirrt....

[Crash2001]

Du brauchst einen Tacacs+-Server. Dies entweder ein Router sein (nicht jeder kann das), oder ein "normaler Server" (Windows oder Linux). Auf dem Server richtest du die User dann ein und connectest dich mit dem Client (in diesem Fall dein 26xx) mit dem Server. Wenn ein USer sich dann einloggen will, wird auf dem Server abgefragt, ob er darf und falls er die richtige Kombination aus User und Passwort hat, dann wird ihm Zugriff gewährt.

[Akaria]

Besten dank, jetzt hab ich es verstanden. (hat aber auch gedauert!!)

Das sollte ich sogar hinbekommen.

Aber diese Tacacs sind nicht im CCNA vorhanden. Ein Kollege hat das einmal erwähnt, aber mehr auch nicht wirklich.

[Crash2001]

TACACS+ wird nicht im CCNA behandelt - oder höchstens mal erwähnt, dass es das gibt - richtig. Braucht man für kleine Netze, worauf der CCNA eigentlich ausgerichtet ist, ja auch nicht unbedingt. Bei einem grossen Netz mit z.B. 10.000 Usern sieht das schon anders aus. Da wäre es zu viel Aufwand, auf jedem Router eine Tabelle der User zu führen, welche Zugriff haben, und diese abzugleichen. Die Zusatzfunktion mit den unterschiedlichen Leveln für den Zugriff ist halt noch ein Bonus.

Solange man nur User hat, die alles oder nichts auf der Kiste dürfen, ist das auch mit der Userliste kein Problem. Für nur einen Router lohnt sich der Aufwand, einen TACACS+-Server aufzusetzen, eh nicht, wenn es nicht grad zu Übungszwecken ist.

Ich würde dir erstmal dazu raten, dass mit der lokalen Userliste zu machen und dich zunächst um die anderen zu konfigurierenden Sachen zu kümmern. Nachträglich TACACS+ einrichten und auf dem Router zu aktivieren geht ja ohne Probleme...

[Akaria]

hi,

ich werde mal schauen. Ich arbeite da nur zu testzwecken dran, sonst würde ich an dem router auch nicht so viel rumbasteln... ein router im netz da mach ich das nicht, da bringt mich mein chef um.. (wenn nachher nichts mehr geht.)

Das was ich hier habe ist alles nur zu Übung, der wird bestimmt nicht bei uns ins Netz eingebunden. Aber trotzdem ist es interessant zu wissen, wie das funktioniert, kann nur von Vorteil sein. Man lernt nie aus

[dgr243]

prinzipiell kannst du je nach IOS Version und IOS Feature Set

- AAA + Tacacs verwenden und die Zuweisung vom tacacs machen lassen

- User mit einem Privilege Level versehen (gehen von 1 bis 15; 15 ist der der alles darf) und im privilege level die entsprechenden befehle freigeben

Privilege Level -->

Einstieg via Understand the levels of privilege in the Cisco IOS

Cisco Doku dazu: Redirect: Internal Technical Support ITS

bzw.

Redirect: Internal Technical Support ITS

ist aber höllenaufwand, wenn man das auf mehr als einem switch machen muss.. da würde ich immer tacacs / radius zu nehmen wollen wenn möglich.

Bearbeitet 12. August 2008 von dgr243

[Akaria]

Hallo,

hab heute mal wieder ein wenig weiter probiert bei dem kleinen Projekt. Und der hammer! Es funktioniert jetzt!!

Mein aktuelles Problem, ich hab jetzt so viel daran rumgebastelt und weiß jetzt nicht mal ob ich das über Tacacs+ laufen habe oder nicht (gehe aber von tacacs aus).

Ich kopier mal ein paar sachen aus er config... wäre klasse wenn ihr daraus sehen könntet was total unnütz ist und ich nicht brauche und was gut ist.

Ich würde das gerne nochmal probieren, aber will auch ungern die Config löschen (kann die hier leider nirgends speichern). Hier mal meine Config:

!

version 12.1

no service single-slot-reload-enable

service timestamps debug uptime

service timestamps log uptime

!

hostname test

!

aaa new-model

aaa authentication login default local

aaa authentication login benutzer local

aaa authentication login test local // hab verschiedene sachen ausprobiert

!

username benutzer

username test

!

!

!

!

no ip domain-lookup

!

!

tacacs-server test

!

!

line con 0

exec-timeout 0 0

logging synchronous

line aux 0

line vty 0 4

lockable

logout-warning 15

transport input pad v120 telnet rlogin udptn

!

end

[Crash2001]

Obs über den Tacacs-Server oder über lokal geht kannst du doch einfach herausfinden, indem du es mit einem User ausprobierst, den es lokal gibt, aber nicht auf dem Server, oder umgekehrt.

Ansonsten Verbindung zum Tacacs trennen...

[Akaria]

Die User hab ich im Globalen Konfigurations modus konfiguriert. Ich probier das mal mit Tacacs trennen.

Also probiert:

Es funktioniert immer noch, also nicht tacacs.

Hmm... jetzt frage ich mich doch wie das funktioniert. Da ich nur die Benutzer erstellt habe und dann am aaa-protokol die authentication local angemacht habe. An vty 0 4 lag es dann ja garnicht... die hab ich gleich nachdem ich das hier geschrieben habe wieder soweit rausgenommen, wie es ging.

Kann es also nur mit dem aaa-protocol funktionieren...

hab das aus Wikipedia immer so verstanden, dass man für Tacacs aaa braucht, aber ob das alleine geht?

[Crash2001]

Schau mal hier.

Da wird alles soweit erklärt mit Beispielen.

AAA ist die Methode. Tacacs ist eine der Möglichkeiten, mit der identifiziert/autorisiert werden kann.

Hast du denn einen Tacacs-Server aufgesetzt? Falls ja, muss der Client ja auch irgendwoher die IP-Adresse des Servers kennen... und die finde ich in deiner Config schon mal nirgends...

[Akaria]

Ah gut, dann weiß ich jetzt wie ich das gemacht habe.

Hab aaa genutzt mit den lokalen User, und tacacs nur aktiviert. (was dann wohl unnötig war)!

Dachte immer, dass das zusammengehört.

Ich kann den Router nicht direkt für Tacacs nutzen ohnen einen richtigen Server nebenzustellen. Irgendwo hattet ihr mir ja gesagt, dass man das auf den Router (sofern er dazu ausgelegt ist) das alles konfigurieren kann und keinen extra server aufsetzen muss. Mein Router hier kann das leider nicht.

Hab daher beim aaa-portocol gebastelt (da ich ja dachte, dass dies dazugehört) und Tacacs nur aktiviert.

Naja, es klappt und das nur mehr oder weniger durch zufall.

[Akaria]

So fertig.

Hab den Router heute nochmal neu konfiguriert und es funktioniert. Jetzt hab ich es ganz verstanden und weiß auch was ich wie und wo gemacht habe. Konfiguriation klappt sofort und es war ne sache von nicht mal 5 Minuten.

Also hattet recht, dass ist garnicht so schwer. (wenn man weiß wo was ist!)

Kurze Zusammenfassung was ich gemacht habe:

ich habe zuerst 2 oder 3 User eingerichtet (mit PW)

router(config)# username test password xxx

router(config)#

anschließend hab ich das aaa-protocol configuriert.

router(config)#aaa new-model

router(config)#aaa authentication login default local-case

router(config)#

mehr musste ich eignetlich garnicht machen... außer am ende alles speichern.

Wenn noch Verbesserungsvorschläge sind, immer her damit.

Also von wegen, da wäre es sicherer xyz zu machen... etc

[dgr243]

ich würde (sofern vom ios unterstützt)

username test secret xxx

verwenden. das somit verschlüsselte passwort lässt sich dann nicht so leicht auslesen. die password funktion hingegen ist höchst unsicher. es gibt da sogar von cisco nen tool für um die mittels "service password-encryption" "verschlüsselten" passwörter wieder lesbar zu machen

ansonsten ists halt ne standardconfig ..

[Akaria]

Danke für den Tipp.

Aber wegen dem secret hatte ich auch von anfang an geschaut, aber sowas unterstützt der Router hier leider nicht.

Das mit dem tool für die service password-encryption wusste ich auch nicht.

Inner CCNA-Kurzreferent, wird das ganze leichte verschlüsselung genannt... von daher klang das schon nicht sonderlich sicher.

[dgr243]

leichte verschlüsselung triffts ganz gut.. dient halt im wesentlichen dazu, dass man bei einem schnellen blick über die konfig das pwd nicht sofort im klartext sieht. mehr aber auch nicht