配置 Console 用户界面的认证方式
通过 Console 口登录的用户直接受控于 Console 用户界面的用户认证方式,当前默认的用户
认证方式为 AAA 认证。为保证 Console 口登录的安全,首次登录时必须修改 AAA 认证的登
录密码。登录后,用户可以修改 Console 用户界面的用户认证方式。
背景信息
Console 用户界面提供 AAA 认证、Password 认证和 None 认证方式。
AAA **认证:**登录时需输入用户名和密码。设备根据配置的 AAA 用户名和密码验证用户输入
的信息是否正确,如果正确,允许登录,否则拒绝登录。
Password **认证:**也称密码认证,登录时需输入正确的认证密码。如果用户输入的密码与设备配置的认证密码相同,允许登录,否则拒绝登录。
None **认证:**也称不认证,登录时不需要输入任何认证信息,可直接登录设备。
须知:
如果配置认证方式为不认证时,任何用户不需要输入用户名和密码就会认证成功。因此,为
保护设备或网络安全,建议不要使用 None 认证方式。
无论何种验证方式,当用户登录设备失败时,系统会启动延时登录机制。首次登录失败后,
延时 5 秒才可再次登录,后续登录失败次数每增加一次,延时时间增加 5 秒,即第 2 次登录
失败延时 10 秒,第 3 次登录失败延时 15 秒。
操作步骤
设置 AAA 认证
执行命令 system-view,进入系统视图。
执行命令 user-interface console 0,进入 Console 用户界面视图。
执行命令 authentication-mode aaa,设置用户认证方式为 AAA 认证。
执行命令 quit,退出 Console 用户界面视图。
执行命令 aaa,进入 AAA 视图。
执行命令 local-user user-name password irreversible-cipher password,创建本地用户,并配置 对应的登录密码。
执行命令 local-user user-name service-type terminal,配置本地用户的接入类型为 Console 用户。
执行命令 quit,退出 AAA 视图。
设置 Password 认证
执行命令 system-view,进入系统视图。
执行命令 user-interface console 0,进入 Console 用户界面视图。
执行命令 authentication-mode password,设置用户认证方式为密码认证。
执行命令 set authentication password simple/cipher,配置 Console 的登录密码。
缺省情况下,设备允许的显式密码最小长度是 8 **。**可以适当增加密码的长度要求,使密码复
杂度增加,从而提高设备的安全性。
执行命令 set password min-length length,设置设备允许 的显式密码最小长度。
缺省情况下,对交互式输入的密码进行复杂度检查,若检查不通过,则配置不成功。
可以使 用 user-interface password complexity-check disable 命令关闭密码复杂度检查功能。但是为了 保证系统安全性,不建议开启此功能。
说明:
当不指定 cipher password 参数时,将采用交互方式输入显式密码,输入的密码不会在终端
屏幕上显示出来。指定 cipher password 参数时,既可以输入显式密码也可以输入密文密码,
但都将以密文形式保存在配置文件中。直接以明文形式输入密码存在安全风险,建议用户采
用交互方式输入密码。
配置 Console 用户界面的用户级别
- 用户可以配置用户级别,实现对不同用户访问设备权限的限制,增加设备管理的安全性。
- 用户的级别分为 16 个级别,级别标识为 0~15,标识越高则级别越高。
- 用户的级别和命令的级别是相对应的,即用户只能使用等于或低于自己级别的命令。
用户级别和命令级别对应关系如表所示。
| 用户级别 | 命令 级别 | 级别说明 | 说明 |
|---|---|---|---|
| 0 | 0 | 参观级 | 网络诊断工具命令(ping、tracert)、从本设备出发访问外部 设备的命令(Telnet 客户端)等。 |
| 1 | 0/1 | 监控级 | 用于系统维护,包括 display 等命令。 说明: 并 不 是 所 有 display 命 令 都 是 监 控 级 , 比 如 display current-configuration命令和 display saved-configuration命令是 3 级管理级。 |
| 2 | 0/1/2 | 配置级 | 业务配置命令,包括路由、各个网络层次的命令,向用户提供 直接网络服务。 |
| 3~15 | 0/1/2/3 | 管理级 | 用于系统基本运行的命令,对业务提供支撑作用,包括文件系 统、FTP、TFTP 下载、用户管理命令、命令级别设置命令以及 用于业务故障诊断的 debugging 命令等。 |
| [用户级别和命令级别对应关系表] |
操作步骤
执行命令 system-view,进入系统视图。
执行命令 user-interface console 0,进入 Console 用户界面视图。
执行命令 user privilege level level,配置 Console 用户界面的用户级别。
缺省情况下,Console 口用户界面的用户级别为 15。
如果用户界面下配置的命令级别访问权限与用户名本身对应的操作权限冲突,以用户名本身
对应的命令级别为准。
如果对用户采用 Password 认证或 None 认证,登录到设备的用户所能访问的命令级别由登录
时的 Console 用户界面的级别决定。
如果对用户采用 AAA 认证,登录到设备的用户所能访问的命令级别由 AAA 配置信息中本地
用户的级别决定。
缺省情况下,AAA 本地用户的级别为 0。在 AAA 视图下,执行 local-user user-name privilege level level命令可以修改 AAA 配置信息中本地用户的级别。
通过 Console 口登录设备
PC 端通过设备的 Console 口登录设备的过程。
背景信息
当完成 Console 用户界面的配置时,就可以通过 Console 口登录设备了。假如配置设备使用
默认的 Console 用户界面属性,认证方式采用默认的 AAA 认证方式,登录过程如下所示。
操作步骤
将 Console 通信电缆的 DB9(孔)插头插入 PC 机的串口(COM)中,再将 RJ-45 插头端插入
设备的 Console 口中,如图所示。
通过 Console 口连接设备
如果维护终端(PC 端)上没有 DB9 串口,可单独购买一根 DB9 串口转 USB 的转接线,将
USB 口连接到维护终端。
在 PC 上打开终端仿真软件,新建连接,设置连接的接口以及通信参数。
设置终端软件的通信参数需与设备的缺省值保持一致,分别为:传输速率为 9600bit/s、8 位
数据位、1 位停止位、无校验和无流控。
单击"Connect",如果 AAA 认证,输入用户名和密码。如果密码认证时,提示输入密码。
进入设备后,用户可以键入命令,对设备进行配置,需要帮助可以随时键入"?"。
检查配置结果
执行 display users [ all ]命令,查看用户界面的用户登录信息。
执行 display user-interface console 0 命令,查看用户界面信息。
执行 display local-user 命令,查看本地用户的属性信息。
执行 display access-user 命令,查看在线连接的用户信息。