Impostazioni della password su uno switch CBS dalla CLI

Obiettivo

Quando si accede allo switch dalla console la prima volta, immettere il nome utente e la password predefiniti, ovvero cisco. Verrà quindi chiesto di immettere e configurare una nuova password per l'account Cisco. La complessità della password è abilitata per impostazione predefinita. Se la password selezionata non è sufficientemente complessa, verrà chiesto di crearne un'altra.

Poiché le password vengono usate per autenticare gli utenti che accedono al dispositivo, l'uso di password semplici è un rischio potenziale per la sicurezza. Pertanto, i requisiti di complessità della password vengono applicati per impostazione predefinita e possono essere configurati secondo necessità.

In questo documento viene spiegato come definire le impostazioni di base per la password, la password della riga di comando, l'abilitazione del recupero della password, le regole di complessità della password sugli account utente e le impostazioni di durata della password sullo switch tramite l'interfaccia della riga di comando (CLI) negli switch Cisco Business (CBS) serie 250 e 350.

Nota: per configurare la password, è possibile usare anche l'utility basata sul Web dello switch. Fare clic qui per ulteriori istruzioni.

Dispositivi interessati | Versione software

• CBS250 (Scheda tecnica) | 3,0,0
• CBS350 (Scheda tecnica) | 3,0,0
• CBS350-2X (Scheda tecnica) | 3,0,0
• CBS350-4X (Scheda tecnica) | 3,0,0

Configurazione delle impostazioni della password dalla CLI

Dalle opzioni seguenti, scegliere le impostazioni della password che si desidera configurare:

Configurazione della password di base

Configurazione della password di linea

Configurazione della password di abilitazione

Configurazione delle impostazioni di recupero della password di servizio

Configurazione dei criteri di complessità della password

Configurazione della durata della password

Configurazione della password di base

Passaggio 1. Accedere alla console dello switch. Il nome utente e la password predefiniti sono cisco.

Nota: i comandi o le opzioni disponibili possono variare a seconda del modello di dispositivo in uso. Nell'esempio viene usato lo switch CBS350.

Passaggio 2. Verrà chiesto di configurare la nuova password per aumentare la protezione della rete. Premere Y per Sì o N per No sulla tastiera.

Nota: nell'esempio, è stato premuto Y.

Passaggio 3. Immettere la vecchia password, quindi premere Invio sulla tastiera.

Passaggio 4. Immettere la nuova password e confermarla premendo Invio sulla tastiera.

Passaggio 5. Accedere alla modalità di esecuzione privilegiata con il comando enable. In modalità di esecuzione privilegiata dello switch, salvare le impostazioni configurate nel file della configurazione di avvio, immettendo quanto segue:

CBS350#copy running-config startup-config

Passaggio 6. (Facoltativo) Premere Y per Sì o N per No sulla tastiera quando compare il prompt Overwrite file [startup-config]… (Sovrascrivi file [startup-config]).

La configurazione della password di base dello switch dalla CLI è ora completata.

Configurazione della password di linea

Passaggio 1. Accedere alla console dello switch. Il nome utente e la password predefiniti sono cisco. Se il nome utente o la password sono stati modificati, immettere le nuove credenziali.

Passaggio 2. In modalità di esecuzione privilegiata dello switch, accedere alla modalità di configurazione globale immettendo quanto segue:

CBS350#configure terminal

Passaggio 3. Per configurare una password di linea, ad esempio per la console, Telnet, Secure Shell (SSH) o altro, accedere alla modalità di configurazione della password di linea specificando quanto segue:

CBS350(config)#line [line-name]

Nota: nell'esempio, la linea specificata è Telnet.

Passaggio 4. Immettere il comando password per la linea specificando quanto segue:

CBS350(config-line)#password [password][crittografata]

Le opzioni sono:

• password: consente di specificare una password per la linea, lunga da 0 a 159 caratteri.
• encrypted: (facoltativo) consente di specificare che la password è criptata e copiata dalla configurazione di un altro dispositivo.

Nota: nell'esempio, viene specificata la password Cisco123$ per la linea Telnet.

Passaggio 5. (Facoltativo) Per ripristinare la password di linea predefinita, immettere quanto segue:

CBS350(config-line)#no password

Passaggio 6. Immettere il comando end per tornare alla modalità di esecuzione privilegiata dello switch.

CBS350(config)#end

Passaggio 7. (Facoltativo) In modalità di esecuzione privilegiata dello switch, salvare le impostazioni configurate nel file della configurazione di avvio, immettendo quanto segue:

CBS350#copy running-config startup-config

Passaggio 8. (Facoltativo) Premere Y per Sì o N per No sulla tastiera quando compare il prompt Overwrite file [startup-config]… (Sovrascrivi file [startup-config]).

La configurazione della password di linea dello switch dalla CLI è ora completata.

Configurazione della password di abilitazione

Quando si configura una nuova password di abilitazione, questa viene automaticamente criptata e salvata nel file di configurazione in uso. Indipendentemente dalla modalità di immissione, la password verrà visualizzata nel file di configurazione in uso con la parola chiave encrypted insieme alla password criptata.

Per configurare la password di abilitazione dello switch dalla CLI, attenersi alla seguente procedura:

Passaggio 1. Accedere alla console dello switch. Il nome utente e la password predefiniti sono cisco. Se il nome utente o la password sono stati modificati, immettere le nuove credenziali.

Passaggio 2. In modalità di esecuzione privilegiata dello switch, accedere alla modalità di configurazione globale immettendo quanto segue:

CBS350#configure terminal

Passaggio 3. Per configurare una password locale per livelli di accesso specifici sullo switch, immettere quanto segue:

CBS350(config)#enable password [level privilege-level] [unencrypted-password | encrypted encrypted-password]

Le opzioni sono:

• level privilege-level: permette di specificare per quale livello sarà valida la password. Il livello varia da 1 a 15. Se non viene specificato, il livello è impostato sul valore predefinito di 15. I livelli utente sono i seguenti:

- Accesso alla CLI in sola lettura (1): l'utente non può accedere alla GUI e può accedere solo ai comandi della CLI che non implichino la modifica della configurazione del dispositivo.

- Accesso alla CLI in lettura/limitato in scrittura (7): l'utente non può accedere alla GUI e può accedere solo ad alcuni comandi della CLI che non implicano la modifica della configurazione del dispositivo. Vedere la Guida di riferimento CLI per ulteriori informazioni.

- Accesso di gestione in lettura e scrittura (15): l'utente può accedere alla GUI e può configurare il dispositivo.

CBS350(config)#enable password level 7 Cisco123$

Nota: nell'esempio, è stata specificata la password Cisco123$ per l'account utente di livello 7.

• unencrypted-password: la password del nome utente attualmente in uso, lunga da 0 a 159 caratteri.

CBS350(config)#enable password level Cisco123$

Nota: nell'esempio, è stata specificata la password Cisco123$.

• encrypted encrypted-password: consente di specificare che la password è criptata. È possibile utilizzare questo comando per immettere una password già criptata di un altro file di configurazione di un altro dispositivo. Ciò consente di configurare due switch con la stessa password.

CBS350(config)#enable password crittografata 6f43205030a2f3a1e243873007370fab

Nota: nell'esempio, la password criptata specificata è 6f43205030a2f3a1e243873007370fab. Questa è la versione crittografata di Cisco123$.

Nota: nell'esempio precedente, è stata impostata la password di abilitazione Cisco123$ per l'accesso di livello 7.

Passaggio 4. (Facoltativo) Per ripristinare la password utente predefinita, immettere quanto segue:

CBS350(config)#no enable password

Passaggio 5. Immettere il comando exit per tornare alla modalità di esecuzione privilegiata dello switch.

CBS350(config)#exit

Passaggio 6. (Facoltativo) In modalità di esecuzione privilegiata dello switch, salvare le impostazioni configurate nel file della configurazione di avvio, immettendo quanto segue:

CBS350#copy running-config startup-config

Passaggio 7. (Facoltativo) Premere Y per Sì o N per No sulla tastiera quando compare il prompt Overwrite file [startup-config]… (Sovrascrivi file [startup-config]).

La configurazione della password di abilitazione dello switch dalla CLI è ora completata.

Configurazione delle impostazioni di recupero della password di servizio

Il meccanismo di recupero della password di servizio consente di accedere fisicamente alla porta della console del dispositivo nelle seguenti condizioni:

• Se il recupero della password è abilitato, è possibile accedere al menu di avvio e attivare il recupero della password dal menu di avvio. Tutti i file di configurazione e i file utente vengono conservati.
• Se il recupero della password è disabilitato, è possibile accedere al menu di avvio e attivare il recupero della password dal menu di avvio. I file di configurazione e i file utente vengono rimossi.
• Se un dispositivo è configurato in modo da proteggere i dati sensibili con una passphrase definita dall'utente per Secure Sentitive Data, non è possibile attivare il recupero della password dal menu di avvio, anche se tale funzionalità è abilitata.

Il recupero della password di servizio è abilitato per impostazione predefinita. Per configurare le impostazioni di recupero della password di servizio dello switch dalla CLI, attenersi alla seguente procedura:

Passaggio 1. Accedere alla console dello switch. Il nome utente e la password predefiniti sono cisco. Se il nome utente o la password sono stati modificati, immettere le nuove credenziali.

Passaggio 2. In modalità di esecuzione privilegiata dello switch, accedere alla modalità di configurazione globale immettendo quanto segue:

CBS350#configure terminal

Passaggio 3. (Facoltativo) Per abilitare l'impostazione di recupero della password dello switch, immettere quanto segue:

CBS350#service password-recovery

Passaggio 4. (Facoltativo) Per disabilitare l'impostazione di recupero della password dello switch, immettere quanto segue:

CBS350#no service password-recovery

Passaggio 5. (Facoltativo) Premere Y per Sì o N per No sulla tastiera quando compare il prompt sotto.

Nota: nell'esempio, è stato premuto Y.

Passaggio 6. Immettere il comando exit per tornare alla modalità di esecuzione privilegiata dello switch.

CBS350(config)#exit

Passaggio 7. (Facoltativo) In modalità di esecuzione privilegiata dello switch, salvare le impostazioni configurate nel file della configurazione di avvio, immettendo quanto segue:

CBS350#copy running-config startup-config

Passaggio 8. (Facoltativo) Premere Y per Sì o N per No sulla tastiera quando compare il prompt Overwrite file [startup-config]… (Sovrascrivi file [startup-config]).

La configurazione delle impostazioni per il recupero della password dello switch dalla CLI è ora completata.

Configurazione dei criteri di complessità della password

Le impostazioni di complessità della password permettono di abilitare regole di complessità per le password dello switch. Se questa funzionalità è abilitata, le nuove password devono rispettare i seguenti criteri:

• Avere una lunghezza minima di otto caratteri.
• Contenere caratteri di almeno quattro categorie (lettere maiuscole, lettere minuscole, numeri e caratteri speciali disponibili su una tastiera standard).
• Essere diverse dalla password corrente.
• Non contenere alcun carattere che venga ripetuto più di tre volte consecutivamente.
• Non ripetere o invertire il nome dell'utente ed evitare qualsiasi variante ottenuta cambiando le lettere minuscole in maiuscole e viceversa.
• Non ripetere o invertire il nome del produttore ed evitare qualsiasi variante ottenuta cambiando le lettere minuscole in maiuscole e viceversa.

Per controllare i criteri di complessità delle password, è possibile usare comandi specifici. Se sono stati già configurati altri criteri di complessità, verranno usate tali impostazioni.

Questa funzione è attivata per impostazione predefinita. Per configurare i criteri di complessità della password dello switch dalla CLI, attenersi alla seguente procedura:

Passaggio 1. Accedere alla console dello switch. Il nome utente e la password predefiniti sono cisco. Se il nome utente o la password sono stati modificati, immettere le nuove credenziali.

Passaggio 2. In modalità di esecuzione privilegiata dello switch, accedere alla modalità di configurazione globale immettendo quanto segue:

CBS350#configure terminal

Passaggio 3. (Facoltativo) Per abilitare i criteri di complessità della password dello switch, immettere quanto segue:

CBS350(config)#password complessità abilitazione

Passaggio 4. (Facoltativo) Per disabilitare i criteri di complessità della password sullo switch, immettere quanto segue:

CBS350(config)#no password complessità enable

Passaggio 5. (Facoltativo) Per configurare i requisiti minimi di una password, immettere quanto segue:

CBS350(config)#password complessità [numero min-lunghezza] [numero min-class] [non-corrente] [numero no-repeat] [non-username] [non-nome-produttore]

Le opzioni sono:

• min-length number: consente di impostare la lunghezza minima della password, che può variare da 0 a 64 caratteri. Il valore predefinito è 8.
• min-classes number: consente di impostare i requisiti minimi per quanto riguarda le categorie di caratteri da usare, ad esempio lettere maiuscole, lettere minuscole, numeri e caratteri speciali disponibili su una tastiera standard. È possibile specificare da 0 a 4 classi. Il valore predefinito è 3.
• not-current: permette di specificare una nuova password diversa dalla password corrente.
• no-repeat number: consente di specificare il numero massimo di caratteri nella nuova password che possono essere ripetuti in sequenza. Zero indica che non vi sono limiti per i caratteri ripetuti. L'intervallo ammesso è compreso da 0 a 16 caratteri. Il valore predefinito è 3.
• not-username: permette di specificare che la password non può contenere in alcun modo il nome utente, né direttamente né invertendo le lettere né cambiando le lettere minuscole in maiuscole o viceversa.
• not-manufacturer-name: permette di specificare che la password non può contenere in alcun modo il nome del produttore, né direttamente né invertendo le lettere né cambiando le lettere minuscole in maiuscole o viceversa.

Nota: questi comandi non interferiscono con le altre impostazioni. Le impostazioni di complessità della password possono solo essere attivate o disattivate.

Nota: nell'esempio, i criteri di complessità sono stati impostati in modo che la password abbia almeno 9 caratteri, non contenga le lettere del nome utente in qualsivoglia ordine e non sia uguale alla password corrente.

Passaggio 6. Immettere il comando exit per tornare alla modalità di esecuzione privilegiata dello switch.

CBS350(config)#exit

Passaggio 7. (Facoltativo) In modalità di esecuzione privilegiata dello switch, salvare le impostazioni configurate nel file della configurazione di avvio, immettendo quanto segue:

CBS350#copy running-config startup-config

Passaggio 8. (Facoltativo) Premere Y per Sì o N per No sulla tastiera quando compare il prompt Overwrite file [startup-config]… (Sovrascrivi file [startup-config]).

La configurazione dei criteri di complessità della password dello switch dalla CLI è ora completata.

Per visualizzare le impostazioni di configurazione delle password dello switch dalla CLI, passare a Visualizzazione delle impostazioni di configurazione delle password.

Configurazione della durata della password

La durata è importante solo per gli utenti del database locale con livello di privilegio 15 e per le password di abilitazione configurate con livello di privilegio 15. Il valore predefinito è 180 giorni.

Per configurare i criteri di complessità della password dello switch dalla CLI, attenersi alla seguente procedura:

Passaggio 1. Accedere alla console dello switch. Il nome utente e la password predefiniti sono cisco. Se il nome utente o la password sono stati modificati, immettere le nuove credenziali.

Passaggio 2. In modalità di esecuzione privilegiata dello switch, accedere alla modalità di configurazione globale immettendo quanto segue:

CBS350#configure terminal

Passaggio 3. Per specificare l'impostazione della durata della password sullo switch, immettere quanto segue:

CBS350(config)#password aging [giorni]

• days: permette di specificare la durata della password, espressa in numero di giorni, prima che ne sia richiesta la modifica. Specificare il valore 0 per disabilitare la durata. L'intervallo ammesso è compreso tra 0 e 365 giorni.

Nota: nell'esempio, la durata della password è impostata a 60 giorni.

Passaggio 4. (Facoltativo) Per disabilitare la durata della password dello switch, immettere quanto segue:

CBS350(config)#no password aging 0

Passaggio 5. (Facoltativo) Per ripristinare la durata predefinita della password, immettere quanto segue:

CBS350(config)#no password aging [giorni]

Passaggio 6. Immettere il comando exit per tornare alla modalità di esecuzione privilegiata dello switch.

CBS350(config)#exit

Passaggio 7. (Facoltativo) In modalità di esecuzione privilegiata dello switch, salvare le impostazioni configurate nel file della configurazione di avvio, immettendo quanto segue:

CBS350#copy running-config startup-config

Passaggio 8. (Facoltativo) Premere Y per Sì o N per No sulla tastiera quando compare il prompt Overwrite file [startup-config]… (Sovrascrivi file [startup-config]).

La configurazione della durata della password dello switch dalla CLI è ora completata.

Per visualizzare le impostazioni di configurazione delle password dello switch dalla CLI, passare a Visualizzazione delle impostazioni di configurazione delle password.

Visualizzazione delle impostazioni di configurazione delle password

La durata è importante solo per gli utenti del database locale con livello di privilegio 15 e per le password di abilitazione configurate con livello di privilegio 15. Il valore predefinito è 180 giorni.

Passaggio 1. In modalità di esecuzione privilegiata dello switch, immettere quanto segue:

CBS350(config)#show password configuration