Cisco Passwort Retry Lockout
Wenn Sie eine Obergrenze für die Anzahl, wie oft ein Cisco-Benutzer kann setzen wollen versuchen, eine fehlgeschlagene Login-Lockout-System zu ermöglichen, müssen zu authentifizieren. Standardmäßig gibt es keine Begrenzung, wie lange können sie falsch versuchen, aber die Fähigkeit, ein Wiederholungs Lockout-System zu ermöglichen, wird in den aktuellen Cisco IOS gebaut.
Eine fehlgeschlagene Login-Sperre ist wichtig, weil alle Benutzer, die Berechtigungsstufe 15 gewährt wurden (die höchste Satz von Sicherheitsrechten) sind normalerweise nicht gesperrt. Nach Aktivierung dieser Funktion auch diese privilegierten Benutzerkonten gesperrt, wenn sie ihre Login-Versuche nicht überschreiten. Die Anzahl der privilegierten Benutzer Sie haben sollten immer auf einem Minimum gehalten werden.
Nach gesperrt werden diese Konten gesperrt, bis Sie sie manuell entriegeln. Um dies zu ermöglichen, müssen Sie einfach die Authentifizierung zu ändern, Autorisierung und Accounting (AAA) Authentifizierungsprozess zu verwenden, um die neue Version AAA-Authentifizierung (die Kontosperrung unterstützt), dass Cisco geschickt ruft neues Modell. Keine Sorge, auch wenn Sie AAA-Authentifizierungsprozess zu ändern, können Sie angeben, dass Benutzer lokal authentifiziert werden und nicht über den AAA-Server, wie im folgenden Satz von Befehlen angezeigt:
Router1 #aktivierenPasswort: Router1 # configure terminalEnter Konfigurationsbefehle, eine pro Zeile. Ende mit CNTL / Z.Router1 (config) #aaa new-modelRouter1 (config) #aaa lokale Authentifizierung versucht max-fail 5Router1 (config) #aaa Authentifizierung Login Standard localRouter1 (config) #Ende
Wenn ein Konto gesperrt ist, können Sie den folgenden Befehl im Privileged-EXEC-Modus verwenden, um ein Konto zu entsperren, wie im folgenden Beispiel. Dieser Befehl kann einen bestimmten Benutzer anwenden oder alle.
klar aaa lokalen Benutzer Aussperrung Benutzername etetz
Der Zähler wird nie zurückgesetzt, wenn Sie also mehrere fehlgeschlagene Logins über ein paar Tage haben, setzen Sie den Zähler mit einem Befehl, um alle Konten zu verwenden, oder bei Ihnen gerade. Hier ist der Befehl im Privileged EXEC Modus zur Ausgabe von:
klar aaa lokalen Benutzer ausfall Versuche Benutzername etetz