Cisco passe tentative de lock-out

Si vous voulez mettre une limite sur le nombre de fois qu'un utilisateur peut tenter de Cisco pour authentifier vous devez activer un système de verrouillage connexion a échoué. Par défaut, il n'y a pas de limite à combien de temps ils peuvent essayer de manière incorrecte, mais la possibilité d'activer un système tentative de verrouillage est intégré dans le courant Cisco IOS.

Une connexion lock-out échoué est important parce que tous les utilisateurs de ce niveau de privilège 15 (le plus élevé ensemble de droits en matière de sécurité) ont été accordées ne sont généralement pas en lock-out. Après avoir activé cette fonction, même ces comptes d'utilisateurs privilégiés sont en lock-out si elles dépassent leurs tentatives de connexion. Le nombre d'utilisateurs privilégiés vous avez doit toujours être maintenu à un minimum.

Après un lock-out, ces comptes sont bloqués jusqu'à ce que vous les déverrouiller manuellement. Pour ce faire, il vous suffit de changer l'authentification, d'autorisation et de comptabilité (AAA) du processus d'authentification à utiliser la nouvelle version authentification AAA (qui prend en charge le verrouillage de compte) que Cisco appelle savamment nouveau modèle. Ne vous inquiétez pas, même si vous changez processus d'authentification AAA, vous pouvez toujours spécifier que les utilisateurs seront authentifiés localement et non via le serveur AAA, comme indiqué dans l'ensemble de commandes suivant:

Router1 #activerMot de passe: Router1 # configure les commandes de configuration de terminalEnter, un par ligne. Terminez avec CNTL / Z.Router1 (config) #aaa nouveau modèleRouter1 (config) #AAA authentification locale tente max-fail 5Router1 (config) authentification de connexion par défaut #AAA localRouter1 (config) #fin

Si un compte est verrouillé, vous pouvez utiliser la commande suivante en mode d'exécution privilégié pour déverrouiller un compte, comme dans l'exemple suivant. Cette commande peut appliquer un utilisateur spécifique ou tous.

clair aaa utilisateur local lock-out nom d'utilisateur etetz

Le compteur est jamais remis à zéro, donc si vous avez plusieurs connexions qui ont échoué plus de quelques jours, réinitialiser le compteur avec une commande en indiquant tous les comptes, ou tout simplement le vôtre. Voici la commande à émettre en mode privilégié:

utilisateur local Fail-aaa tentatives claires nom d'utilisateur etetz