简介
本文档说明在路由器上启用或禁用身份验证、授权记帐(AAA)时“login local”命令的行为。
先决条件
要求
思科建议您具备以下主题的基本知识:
- 思科路由器上的AAA配置
- Radius/TACACS
使用的组件
本文档中的信息基于在各种Cisco IOS版本12.2(22)、12.4T、15.1M、15.3M等中执行的测试。但是,本文档不限于特定软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
配置
以下是验证此行为所需的最低配置:
- 从测试的路由器至少可以访问一个远程身份验证拨入用户服务(RADIUS)或终端访问控制器访问控制系统(TACACS+)服务器。
- 被测试的路由器被识别为AAA服务器的客户端。
- 思科路由器/交换机和远程AAA服务器上配置了相同的预共享密钥。
- RADIUS服务器的全局池或在测试的路由器上配置的RADIUS或TACACS+服务器的命名子集。
- 在测试的路由器上配置的本地用户数据库。
验证
当在“line vty x”下配置“login local”时,用户将能够使用路由器上配置的本地用户名和密码登录。但是,当配置了“aaa new-model”时,在“line vty x”下没有配置,因为现在默认登录方法是AAA。
保存配置并使用“no aaa-new model”删除AAA后,登录方法将切换回线路身份验证。线路身份验证是指路由器仅检查线路密码而不是配置的全局用户名密码。现在,您不会看到在启用AAA之前配置的“line vty x”下的“login local”,而是“login”。
注意:不建议使用“no aaa new-model”禁用AAA。
以下步骤将详细显示此行为:
Login local configured on router:
Router#show run | begin line vty
line vty 0 4
login local
Enable AAA on router:
Router(config)#aaa new-model
Router#show run | begin line vty
line vty 0 4
Save the configuration
Router#wr
Building configuration...
[OK]
Disable AAA
Router#conf t
Router(config)#no aaa new-model
Changing configuration back to no aaa new-model is not supported.
Continue?[confirm]
Check login method
Router#show run | begin line vty
line vty 0 4
login
结论
删除“AAA new-model”时,默认方法将是“login”(登录),而不是“login local”(登录本地)。所有Cisco IOS版本都显示此行为。
反馈