username password

Для создания нового пользователя, изменения имени пользователя, пароля, уровня привилегий или удаления существующего пользователя, используйте команду username password.

В конфигурации пароль будет храниться в открытом виде.

Для удаления пользователя достаточно указать  no username {name}.

Синтаксис

username {name} [privilege level] password [0] {pwd} 

no username {name}

name

имя пользователя.

 

Имя должно начинаться с буквы латинского алфавита (строчной или прописной). Далее могут идти буквы латинского алфавита (строчные или прописные), цифры, _ (подчеркивание) и - (дефис). Имя должно быть уникальным и не превышать 8 символов.

level

уровень привилегий, диапазон значений 0 - 15. Значение по умолчанию - 1.

0

необязательный параметр, указывающий на то, что пароль хранится в незашифрованном виде. Он обязателен только в случае, если пароль тоже «0»:

username {name} [privilege level] password 0 0.

При выводе по show running-config ноль показывается всегда.

pwd

пароль пользователя.

Допускаются латинские буквы, цифры и спецсимволы. Нельзя использовать пробелы и нелатинские символы.

Режимы команды

Global configuration

Рекомендации по

использованию

Добавление пользователя, изменение его параметров

Данная команда используется для создания нового пользователя, изменения пароля или уровня привилегий существующего пользователя.

Ограничения на имя пользователя являются более строгими, чем в Cisco IOS. Это связано с особенностями используемых операционных систем.

Команда создания пользователя воспринимается как команда редактирования (например, сменить пароль, privilege и т.п.), если пользователь уже присутствует в конфигурации и в системе. При добавлении нового пользователя или изменении пароля существующего, добавляются или изменяются данные пользователей операционной системы.

 

      Если пользователь с указанным в команде именем уже присутствует в ОС, но не представлен в Cisco-like конфигурации, то далее выполняется проверка, зарегистрирована ли cs_console в качестве shell данного пользователя:

     Если в качестве shell данного пользователя выставлена cs_console, то данный пользователь добавляется в Cisco-like конфигурацию.

При этом на консоль выдается сообщение:

Warning: User "<username>" already exists in the system. It was reused 

Пользователю выдается пароль, заданный в команде                   username.

Если предыдущий пароль пользователя в системе отличался от нового, он будет потерян.

•   Если у данного пользователя выставлен другой shell, команда создания пользователя завершается с ошибкой.

Пользователю может быть назначен уровень привилегий из диапазона 0 - 15. Этот диапазон разделен на два класса: в первом - пятнадцатый уровень, а во втором - с 0 по 14 уровни. Пользователи с уровнем привилегий от 0 до 14 имеют одинаковые права.

Пользователь с пятнадцатым уровнем привилегий в интерфейсе командной строки сразу получает доступ к привилегированному режиму специализированной консоли. Пользователей с пятнадцатым уровнем может быть несколько.

Пользователь с уровнем привилегий от 0 по 14 имеет право доступа к пользовательскому режиму специализированной консоли. А если этот пользователь знает пароль доступа к привилегированному режиму, то он может настраивать шлюз безопасности.

Если не указан в команде параметр [privilege level], то будет создан пользователь с 1 (первым) уровнем привилегий.

По команде show running-config в конфигурации будет показана команда username password в том виде, в каком она была введена. Будьте осторожны, пароль хранится и показывается в открытом виде.

В cs_console команды username password и username secret являются взаимозаменяемыми - ввод любой из этих команд для существующего пользователя обозначает изменение пароля, независимо от того, как он был задан ранее.

Удаление пользователя

Удаление пользователя с именем name производится командой

no username {name}

Допустимо указывать более длинную команду, например,  no username {name} privilege 10 password {pwd}. Однако, никакой необходимости в этом нет.

Если имеется только один пользователь с уровнем привилегий 15, то удалять такого пользователя не рекомендуется.

Удалить пользователя, из-под которого запущена cs_console, технически возможно, но данное действие категорически не рекомендуется.

Если удаляется пользователь из системы, из-под которого не запущена cs_console:

      Пользователь успешно удален из системы: команда завершается успешно, и пользователь удаляется из Cisco-like конфигурации.

      Пользователя в системе не существует: команда также завершается успешно, и пользователь удаляется из Cisco-like конфигурации.

      Удаление пользователя не прошло (пользователь в системе остался): то команда завершается с ошибкой, пользователь не удаляется из Cisco-like конфигурации.

Выдаваемые сообщения

При попытке добавления нового пользователя могут возникать следующие ошибки:

      Неправильный синтаксис имени пользователя (использование недопустимых символов): 

% User "<username>" was not created. Username is is invalid

      Длина имени пользователя превышает 8 символов:

% User "<username>" was not created. Username is too long (8-chars limit exceeded)

      Пользователь с таким именем уже существует в системе:

% User addition failed. User "<username>" already exists in the system

      Произошла системная ошибка (возможно нарушена системная политика в отношении имени пользователя или пароля; например слишком короткий пароль):

% User addition failed: System error. Possibly the password or the user name violates some system policy (e.g. the password is too short)

      Кроме указанной, возможны и другие причины появления данной ошибки, например, исчерпание ресурсов. Такая ошибка может возникнуть при попытке создать пользователя с именем, совпадающим с именем группы пользователей (список групп можно посмотреть в файле /etc/group).

      При попытке смены пароля пользователя может возникать ошибка:

% User password change failed. Possibly the password violates some system policy (e.g. it's too short)

Отличие данной

команды от

подобной команды Cisco IOS

•   Не поддерживаются всевозможные варианты задания username и другие параметры:

     не поддерживается nopassword;

     не поддерживается шифрование пароля - не поддерживается команда username {name} password 7 {encrypted-password}.

      Имеется ограничение на длину имени пользователя.

•   В cs_console команды username password и username secret являются взаимозаменяемыми - ввод любой из этих команд для существующего пользователя обозначает изменение пароля, независимо от того, как он был задан ранее. В Cisco: если пароль для пользователя задан командой username password (пароль хранится в открытом виде), то пароль нельзя потом изменить, используя команду username secret (пароль хранится в зашифрованном виде), и наоборот - если пароль для пользователя задан командой username secret, то потом изменить его командой  username password нельзя. В обоих случаях выдается сообщение об ошибке.

Пример

Ниже приведен пример изменения пароля пользователя с именем "cscons":

Router(config)#username cscons password security

Router(config)#end

 

Примечание

В ОС Linux пользователь создается с home в директории /var/cspvpn/users/<name> (<name> - имя пользователя). Директория создается с атрибутами 750 (drwxr-x---).

В качестве shell у пользователя выставляется /opt/VPNagent/bin/cs_console.