enable - authentication failed

[nokogerra]

Доброго времени суток.

Eltex MES 3124. Перестал быть доступен менеджмент IP адрес (не представляю что могло случиться). Подключился консольным кабелем (115200 бит) с помощью hyperterminal, пытаюсь выйти в привилегированный режим, но после "enable" нет запроса пароля, просто получаю сообщение "authentication failed".

update:
а сейчас получил также сообщение "%AAA-W-REJECT: New console connection, source 0.0.0.0 destination 0.0.0.0 REJECTED"
однако, я все же подключен, но с обычным режимом. Например, "show version" могу выполнить.

[Евгений Т]

Добрый день.

Можете привести конфигурацию MES (все что касается аутентификации и паролей)?

[nokogerra]

Просто два локальных пользователя, один рядовой, другой "Configuration". С моделью AAA не знаком, но если бы пароль ena был задан, он был бы запрошен, а если не задан, то я попал бы в этот режим без проблем типа "authentication failed", верно?
p.s. кстати первоочередная проблема решилась, а вот с ena в консоли - не ясно.

[Евгений Т]

Если вы создаете пользователя с уровнем привелегий 1, то пароль для enable обязателен к настройке. Иначе не пустит в привелегированный режим.

[nokogerra]

Честно говоря, без понятия какой уровень привилегий у тайтла "Monitoring". Задал пароль для Enable (через Web интерфейс) с уровнем 1 - ничего не изменилось, также authentication failed, попробовал с уровнем 15 - тот же эффект.

[Евгений Т]

Без вашей конфиги не понятно что вы делаете и настраиваете.
Есть 2 уровня привелегий - 1 и 15. Вот пример создания пользователей с этими уровнями привелегий:
username admin password encrypted 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8
username admin1 password encrypted e38ad214943daad1d64c102faec29de4afe9da3d privilege 15

Если вы заходите под пользователем с уровнем привелегий 15, то автоматический попадаете в привелегированный режим.
Если заходите под пользователем с уровнем привелегий 1, то попадаете в непривелегированный режим и вам нужно настроить пароль для enable, чтобы была возможность перехода в привелегированный режим:
enable password <password>

На коммутаторе должен быть хоть один пользователь с админскими привелегиями (уровень 15). Если вы его не создавали специально, то это дефолтный пользователь (логин admin, пароль пустой)

[nokogerra]

Два пользователя: один (user) с уровнем "Monitoring", другой (admin) с уровнем "Configuration". Задал пароль для enable (уровень 15). Если вхожу на коммутатор с помощью telnet под учетной записью admin, попадаю в exec режим, из которого без проблем могу попасть в режим конфигурации. Если под учетной записью user - при попытке выполнить enable требуется ввести пароль, ввожу - authentication failed (пароль ввожу верно), при подключении через консольный кабель, пароль вообще не запрашивается - сразу выдается сообщение "authentication failed".

[Евгений Т]

Пришлите конфигурацию на почту 3200@eltex.org
и покажите sh bootvar

[nokogerra]

http://pastebin.com/bc960dgk

[Евгений Т]

Какой пароль вы вводите?
aaa authentication enable default line - тут написано, что для enable используется пароль line.
Т.е. этот:
line telnet
password b12965c5ed0627695e4c0d977997e6bd25d9b9fe encrypted
exit

[nokogerra]

Это странно, недавно я пытался задать пароль для доступа через последовательный порт с помощью команд из гайда:

Код: Выделить всё

console(config)# aaa authentication login default line
console(config)# aaa authentication enable default line
console(config)# line console
console(config-line)# login authentication default
console(config-line)# enable authentication default
console(config-line)# password console


Но эффекта не возымело, видимо оттуда это "aaa authentication enable default line". И логики не понял, как так, я в web-интерфейсе задаю пароль enable, а он вообще не используется для enable, а используется какой-то line.

По описанному вами, получается что эта часть гайда:

Код: Выделить всё

Установка пароля для консоли
console(config)# aaa authentication login default line
console(config)# aaa authentication enable default line
console(config)# line console
console(config-line)# login authentication default
console(config-line)# enable authentication default
console(config-line)# password console
В ответ на приглашение ввести пароль во время регистрации в устройстве через сеанс
консоли введите пароль – console.
32 Ethernet-коммутаторы MES3124, MES3124F

Установка пароля для Telnet
console(config)# aaa authentication login default line
console(config)# aaa authentication enable default line
console(config)# ip telnet server
console(config)# line telnet
console(config-line)# login authentication default
console(config-line)# enable authentication default
console(config-line)# password telnet
В ответ на приглашение ввести пароль во время регистрации в устройстве через сеанс Telnet
введите пароль – telnet.

Установка пароля для SSH
console(config)# aaa authentication login default line
console(config)# aaa authentication enable default line
console(config)# ip ssh server
console(config)# line ssh
console(config-line)# login authentication default
console(config-line)# enable authentication default
console(config-line)# password ssh

Ведет к тому, что для enable будет использоваться пароль line. Я реально запутался.

[Евгений Т]

Но эффекта не возымело, видимо оттуда это "aaa authentication enable default line". И логики не понял, как так, я в web-интерфейсе задаю пароль enable, а он вообще не используется для enable, а используется какой-то line.

Не понял что вы имели в виду. При такой конфиге при авторизации через консоль надо вводить пароль "console". Для enable авторизации такой же пароль. Причем тут веб?

По описанному вами, получается что эта часть гайда:
Ведет к тому, что для enable будет использоваться пароль line. Я реально запутался.

Именно к этому и ведет.

Не понимаю суть проблемы. Нужен специальный пароль для console/telnet/ssh - используйте конфиг из гайда.
Не нужны такие пароли - удалите данный конфиг.

[nokogerra]

Не понял что вы имели в виду. При такой конфиге при авторизации через консоль надо вводить пароль "console". Для enable авторизации такой же пароль. Причем тут веб?

В том и дело, что пароль при доступе через консоль вводить все равно не требуется. Веб не при чем, просто пароль для enable задавал с помощью веб-интерфейса, а не cli.

Именно к этому и ведет.
Не понимаю суть проблемы. Нужен специальный пароль для console/telnet/ssh - используйте конфиг из гайда.
Не нужны такие пароли - удалите данный конфиг.

Мне нужно, чтобы при доступе через последовательный порт я мог попасть в exec режим и использовал для этого пароль enable, а не какой-то непонятный line.

[Евгений Т]

Мне нужно, чтобы при доступе через последовательный порт я мог попасть в exec режим и использовал для этого пароль enable, а не какой-то непонятный line.

Об этом писал выше. Удалите строку
aaa authentication enable default line

[nokogerra]

Да, действительно помогло, спасибо.
Есть где-то материал, где доступно разъяснен принцип ограничения доступа? Ибо я совершенно не понимаю логики. Если набор пользователей с разным уровнем привилегий еще подходит под классическую ролевую систему, то отдельные пароли для telnet, ssh и консоли меня путают. Как можно задать пароль для ssh, если требуется ввести еще и логин. Что мне даст один лишь пароль? И также совершенно не понял этой ситуации с "aaa authentication enable default line", ну должен использоваться для попадания в exec пароль line, а не enable - пускай. Почему в консоли я получал "authentication failed" даже без запроса пароля пока не удалил эту строку.