Настройка учётных записей пользователей

Настройка учётных записей пользователей

Создать учётную запись пользователя можно только в режиме конфигурации. Для этого используется команда username <NAME>.

Далее в контекстном режиме задаются параметры учётной записи пользователя. Команды, управляющие этими параметрами, описаны ниже.

• description <DESCR> — добавить описание пользователя.
• no description — удалить описание пользователя.
• password <PASS> — задать пароль пользователя.
• no password — удалить пароль пользователя.
• role  {admin │ noc │ helpdesk │ <NAME>} — назначить пользователю роль. Указывается одно из значений: admin, noc, helpdesk, либо имя роли созданной пользователем.
• no role {admin │ noc │ helpdesk │ <NAME>} — лишить пользователя роли.
• vr <NAME> — Разрешить пользователю доступ к виртуальному маршрутизатору.
• no vr <NAME> — Запретить пользователю доступ к виртуальному маршрутизатору.
• activate — активировать учётную запись пользователя.
• deactivate — отключить учётную запись пользователя.
• lifetime <120-86400> — “время жизни” учётной записи пользователя в секундах по истечении которого учётной записи будет присвоен статус deactivate.
• lifetime day <1-131072> — “время жизни” учётной записи пользователя в днях по истечении которого учётной записи будет присвоен статус deactivate.
• ssh-key <SSH_KEY> — позволяет установить SSH-ключ длиной до 500 символов и производить подключение к системе по ключу без ввода пароля.

ВНИМАНИЕ! Пользователь, которому не назначено ни одной роли с правами, не сможет выполнять никаких действий.

Одному пользователю может быть одновременно назначено несколько ролей. Каждая роль может быть назначена нескольким пользователям одновременно.

Следует пояснить поведение системы при совместном использовании команд lifetime и activate / deactivate.

• При установке lifetime для активной учётной записи начинается обратный отсчёт времени её действия, в течении которого возможности учётной записи доступны пользователю.
• Отсчитывается календарное время, не зависящее от присутствия пользователя в системе и других факторов.
• По истечению времени, учётная запись будет переведена в неактивное состояние равнозначное вводу команды deactivate. Активный сеанс пользователя будет прерван, пользователь более не сможет войти в систему по логину и паролю своей учётной записи. Подобное поведение системы должно побудить пользователя обратиться за новым паролем и продлением действия учётной записи к администратору сети, что положительно влияет на информационную безопасность.
• По команде activate учётная запись снова приходит в активное состояние, отсчёт lifetime начинается с начала, пользователь получает доступ к системе.
• Для изменения сроков жизни учётной записи достаточно повторно ввести команду lifetime или lifetime day с новыми сроками.

Для удаления учетной записи пользователя используется команда конфигурационного режима: no username <NAME>.

Пример:

ecorouter(config)# username user1
ecorouter(config-user)# description sysadmin
ecorouter(config-user)# password administrator
ecorouter(config-user)# role admin

Кроме предустановленных ролей можно создать пользовательскую роль (см. предыдущий раздел). Для этого в настройке пользователя используется контекстная команда role <NAME>.

Для удаления пользовательской роли используется команда no role <NAME>.

В процессе авторизации роль пользователя может быть определена записью в локальной базе данных или получена с RADIUS/TACACS+ сервера. В случае если пользователь существует и в локальной базе пользователей на маршрутизаторе, и в базе пользователей RADIUS/TACACS+ сервера, роль будет определяться способом и приоритетом заданным командой aaa precedence (см. ниже).