Introduction
Ce document explique le comportement de la commande « login local » lorsque l'authentification, la comptabilité d'autorisation (AAA) est activée ou désactivée sur un routeur.
Conditions préalables
Conditions requises
Cisco vous recommande d'avoir une connaissance de base des sujets suivants :
- Configuration AAA sur les routeurs Cisco
- Radius/TACACS
Composants utilisés
Les informations de ce document sont basées sur les tests effectués dans différentes versions de Cisco IOS 12.2(22), 12.4T, 15.1M, 15.3M, etc. Cependant, ce document n'est pas limité à des versions logicielles et matérielles spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configuration
Voici la configuration minimale requise pour vérifier ce comportement :
- Au moins un serveur RADIUS (Remote Authentication Dial-In User Service) ou TACACS+ (Terminal Access Controller Access Control System) est accessible depuis le routeur testé.
- Le routeur testé est reconnu comme client du serveur AAA.
- La même clé secrète prépartagée est configurée sur le routeur/commutateur Cisco et les serveurs AAA distants.
- Pool global de serveurs RADIUS ou sous-ensemble nommé de serveurs RADIUS ou TACACS+ configurés sur le routeur en cours de test.
- Base de données des utilisateurs locaux configurée sur le routeur en cours de test.
Vérification
Lorsque 'login local' est configuré sous 'line vty x', les utilisateurs peuvent se connecter à l'aide du nom d'utilisateur et du mot de passe locaux configurés sur le routeur. Mais quand 'aaa new-model' est configuré, il n'y a aucune configuration sous 'line vty x' parce que maintenant la méthode de connexion par défaut est AAA.
Une fois la configuration enregistrée et l'AAA supprimée à l'aide de 'no aaa-new model', la méthode de connexion bascule vers l'authentification de ligne. L'authentification de ligne est le cas où le routeur recherche simplement le mot de passe de ligne et non le mot de passe de nom d'utilisateur global configuré. Maintenant vous ne verrez pas 'login local' sous 'line vty x' qui a été configuré avant d'activer AAA, à la place vous verrez 'login'.
Note: Il n'est pas recommandé de désactiver AAA avec « no aaa new-model ».
Les étapes suivantes présentent ce comportement en détail :
Login local configured on router:
Router#show run | begin line vty
line vty 0 4
login local
Enable AAA on router:
Router(config)#aaa new-model
Router#show run | begin line vty
line vty 0 4
Save the configuration
Router#wr
Building configuration...
[OK]
Disable AAA
Router#conf t
Router(config)#no aaa new-model
Changing configuration back to no aaa new-model is not supported.
Continue?[confirm]
Check login method
Router#show run | begin line vty
line vty 0 4
login
Conclusion
Lorsque vous supprimez « AAA new-model », la méthode par défaut sera « login » sous la ligne et non “ login local ”. Ce comportement est visible sur toutes les versions de Cisco IOS.