Добрый день!
Как при стандартной (та, что по умолчанию) авторизации вести аудит успешных/не успешных входов в систему?Конкретно интересует IOS v.12.2.
P.S. Очень буду благодарен за решение, т.к. все уже перерыл.
>Добрый день!
>Как при стандартной (та, что по умолчанию) авторизации вести аудит успешных/не успешных
>входов в систему?
>
>Конкретно интересует IOS v.12.2.
>
>P.S. Очень буду благодарен за решение, т.к. все уже перерыл.один из вариантов
используйте tacacs или radius
далее aaa authentication через указанные протоколы.
Тогда такой вопрос.
Можно ли при использовании для аутентификации aaa- сервер входить
под локальными (заведенными на самой киске) пользователями?
Будут ли отслеживаться именно эти попытки?Ну и все же можно ли реализовать требуемое буз поднятия дополнительного сервера?
cisco(config)#login ?
block-for Set quiet-mode active time period
delay Set delay between successive fail login
on-failure Set options for failed login attempt
on-success Set options for successful login attempt
quiet-mode Set quiet-mode optionsсообщения можно собирать в syslog или просто в буффер cisco.
Только я вот не помню с какой версии IOS это появилось.
>Тогда такой вопрос.
>Можно ли при использовании для аутентификации aaa- сервер входить
>под локальными (заведенными на самой киске) пользователями?
>Будут ли отслеживаться именно эти попытки?
>
а это как настроите - можно настроить использовать локальную базу в случае недоступности сервера. тогда администратор может отрубить достп серверу и зайти.
а можно запретить это (полько по такаксу). Но в любом случае, администратор может и это поменять.Для исправления этого есть два варианта
1. аккаунтинг команд - например отключение ааа-сервера через конфиг можно будет отследить.
2. авторизация выполнения команд. разрешить админу выполнять только то что нужно или запредить некоторые команды.>Ну и все же можно ли реализовать требуемое буз поднятия дополнительного сервера?
дополнительного в плане?
ПО с поддержкой tacacs и/или radius на ИОСе не работает - для этого нужен сервер.
На одной из кисок, действительно, проблему удалось решить так:aaa new-model
aaa authentication login local_auth local
line vty 0 4
login authentication local_auth
transport input telnet
login block-for 600 attempts 5 within 300
login on-failureВерсия IOS на ней 12.3(7). Но вот на других кисках с версиями 12.2(15) и 12.3(3) уже не проходит - нет команд login и auto. Зато все они поддерживают первые две команды:
aaa new-model
aaa authentication login local_auth localКак можно используя такую аутентификацию вести аудит?
>to ilya
>Для исправления этого есть два варианта
>1. аккаунтинг команд - например отключение ааа-сервера через конфиг >можно будет отследить.
Каким образом? Можно набросок команд.
>На одной из кисок, действительно, проблему удалось решить так:
>
> aaa new-model
> aaa authentication login local_auth local
> line vty 0 4
> login authentication local_auth
> transport input telnet
> login block-for 600 attempts 5 within 300
> login on-failure
>
>Версия IOS на ней 12.3(7). Но вот на других кисках с версиями
>12.2(15) и 12.3(3) уже не проходит - нет команд login и
>auto. Зато все они поддерживают первые две команды:
> aaa new-model
> aaa authentication login local_auth local
>
>Как можно используя такую аутентификацию вести аудит?
основная суть - выделенный сервер, на котором стоит приложение, пожжерживающее tacacs.
этот сервер производит аутентификацию, авторизацию и аккаунтинг пользователей.
ИМХО самый просто с юзер-дружелюбный сервер - ACS. Есть триальная версия на сайте производителя.
http://www.cisco.com/univercd/cc/td/doc/product/access/acs_s...
>>to ilya
>>Для исправления этого есть два варианта
>>1. аккаунтинг команд - например отключение ааа-сервера через конфиг >можно будет отследить.
>Каким образом? Можно набросок команд.
http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/produ...
Премного благодарен за инфу, Ilya, буду копать в направлении выделенного ААА-сервера.