소개
이 문서에서는 라우터에서 AAA(Authentication, Authorization Accounting)가 활성화되거나 비활성화된 경우 "login local" 명령의 동작에 대해 설명합니다.
사전 요구 사항
요구 사항
Cisco에서는 다음 항목에 대한 기본 지식을 갖춘 것을 권장합니다.
- Cisco 라우터의 AAA 컨피그레이션
- Radius/TACACS
사용되는 구성 요소
이 문서의 정보는 다양한 Cisco IOS 버전 12.2(22), 12.4T, 15.1M, 15.3M 등에서 수행된 테스트를 기반으로 합니다. 그러나 이 문서는 특정 소프트웨어 및 하드웨어 버전에 제한되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
다음은 이 동작을 확인하는 데 필요한 최소 구성입니다.
- 테스트 중인 라우터에서 하나 이상의 RADIUS(Remote Authentication Dial-In User Service) 또는 TACACS+(Terminal Access Controller Access Control System) 서버에 연결할 수 있습니다.
- 테스트 중인 라우터는 AAA 서버의 클라이언트로 인식됩니다.
- 동일한 사전 공유 비밀 키가 Cisco 라우터/스위치 및 원격 AAA 서버에 구성됩니다.
- 테스트 중인 라우터에 구성된 RADIUS 서버 또는 RADIUS 또는 TACACS+ 서버의 명명된 하위 집합의 전역 풀입니다.
- 테스트 중인 라우터에 구성된 로컬 사용자 데이터베이스
다음을 확인합니다.
'login local'이 'line vty x'에 구성되면 사용자는 라우터에 구성된 로컬 사용자 이름과 비밀번호를 사용하여 로그인할 수 있습니다. 그러나 'aaa new-model'이 구성되면 'line vty x'에 컨피그레이션이 없습니다. 기본 로그인 방법이 AAA이기 때문입니다.
컨피그레이션이 저장되고 'no aaa-new model'을 사용하여 AAA가 제거되면 로그인 방법은 다시 회선 인증으로 전환됩니다. 라인 인증은 라우터가 구성된 전역 사용자 이름 비밀번호가 아닌 라인 비밀번호를 확인하는 것입니다. 이제 AAA를 활성화하기 전에 구성된 'line vty x'에 'login local'이 표시되지 않고 'login'이 표시됩니다.
참고: "no aaa new-model"을 사용하여 AAA를 비활성화하는 것은 권장되지 않습니다.
다음 단계에서는 이 동작을 자세히 보여줍니다.
Login local configured on router:
Router#show run | begin line vty
line vty 0 4
login local
Enable AAA on router:
Router(config)#aaa new-model
Router#show run | begin line vty
line vty 0 4
Save the configuration
Router#wr
Building configuration...
[OK]
Disable AAA
Router#conf t
Router(config)#no aaa new-model
Changing configuration back to no aaa new-model is not supported.
Continue?[confirm]
Check login method
Router#show run | begin line vty
line vty 0 4
login
결론
"AAA new-model"을 제거하면 기본 방법은 "login local"이 아닌 "login"이 됩니다. 이 동작은 모든 Cisco IOS 버전에서 표시됩니다.
피드백