簡介
本檔案將說明在路由器上啟用或停用驗證、授權記帳(AAA)時「login local」命令的行為。
必要條件
需求
思科建議您瞭解以下主題的基本知識:
- 思科路由器上的AAA配置
- Radius/TACACS
採用元件
本檔案中的資訊是根據在各種Cisco IOS版本12.2(22)、12.4T、15.1M和15.3M等中執行的測試。但是本檔案所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
設定
以下是驗證此行為所需的最低配置:
- 可從測試中的路由器連線至少一部遠端驗證撥入使用者服務(RADIUS)或終端存取控制器存取控制系統(TACACS+)伺服器。
- 接受測試的路由器被識別為AAA伺服器的客戶端。
- 思科路由器/交換機和遠端AAA伺服器上配置了相同的預共用金鑰。
- RADIUS伺服器的全域性池,或測試路由器上配置的RADIUS或TACACS+伺服器的命名子集。
- 在測試路由器上配置的本地使用者資料庫。
驗證
在「line vty x」下配置「login local」後,使用者將能夠使用路由器上配置的本地使用者名稱和密碼登入。但是,當配置了「aaa new-model」時,在「line vty x」下沒有配置,因為現在的預設登入方法是AAA。
儲存配置並使用「no aaa-new model」刪除AAA後,登入方法將切換回線路身份驗證。線路驗證是當路由器只檢查線路密碼而不是配置的全域性使用者名稱密碼時。現在,您不會看到「line vty x」底下的「login local」,該命令是在啟用AAA之前配置的,而您會看到「login」。
注意:不建議使用「no aaa new-model」禁用AAA。
以下步驟將詳細顯示此行為:
Login local configured on router:
Router#show run | begin line vty
line vty 0 4
login local
Enable AAA on router:
Router(config)#aaa new-model
Router#show run | begin line vty
line vty 0 4
Save the configuration
Router#wr
Building configuration...
[OK]
Disable AAA
Router#conf t
Router(config)#no aaa new-model
Changing configuration back to no aaa new-model is not supported.
Continue?[confirm]
Check login method
Router#show run | begin line vty
line vty 0 4
login
結論
刪除「AAA新模式」時,預設方法將是「login」在行下,而不是「login local」。所有Cisco IOS版本都會出現此行為。
意見