Introduction
Este documento explica o comportamento do comando "login local" quando Authentication, Authorization Accounting (AAA) está ativado ou desativado em um roteador.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento básico dos seguintes tópicos:
- Configuração AAA em Cisco Routers
- Raio/TACACS
Componentes Utilizados
As informações neste documento são baseadas nos testes realizados em várias versões do Cisco IOS 12.2(22), 12.4T, 15.1M, 15.3M etc. Entretanto, este documento não está restrito a versões específicas de software e hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configurar
A seguir está a configuração mínima necessária para verificar esse comportamento:
- Pelo menos um servidor RADIUS (Remote Authentication Dial-In User Service) ou TACACS+ (Terminal Access Controller Access Control System) pode ser acessado do roteador em teste.
- O roteador em teste é reconhecido como um cliente do servidor AAA.
- A mesma chave secreta pré-compartilhada é configurada no roteador/switch Cisco e nos servidores AAA remotos.
- Pool global de servidores RADIUS ou subconjunto Nomeado de servidores RADIUS ou TACACS+ configurados no roteador em teste.
- Banco de dados de usuário local configurado no roteador em teste.
Verificar
Quando 'login local' é configurado em 'line vty x', os usuários poderão fazer login usando o nome de usuário e a senha locais configurados no roteador. Mas quando 'aaa new-model' é configurado, não há configuração em 'line vty x' porque agora o método de login padrão é AAA.
Quando a configuração for salva e AAA for removido usando 'no aaa-new model', o método de login mudará de volta para a autenticação de linha. A autenticação de linha é quando o roteador apenas verifica a senha de linha e não a senha de nome de usuário global configurada. Agora você não verá 'login local' em 'line vty x' que foi configurado antes de ativar o AAA, em vez disso você verá 'login'.
Note: Não é recomendável desativar o AAA com "no aaa new-model".
As etapas a seguir mostrarão esse comportamento em detalhes:
Login local configured on router:
Router#show run | begin line vty
line vty 0 4
login local
Enable AAA on router:
Router(config)#aaa new-model
Router#show run | begin line vty
line vty 0 4
Save the configuration
Router#wr
Building configuration...
[OK]
Disable AAA
Router#conf t
Router(config)#no aaa new-model
Changing configuration back to no aaa new-model is not supported.
Continue?[confirm]
Check login method
Router#show run | begin line vty
line vty 0 4
login
Conclusão
Ao remover "AAA new-model", o método padrão será "login" na linha e não "login local". Esse comportamento é observado em todas as versões do Cisco IOS.
Feedback