Cisco: как поменять пароль

В этом примере мы задаем пароль MySuperPassword для входа в режим конфигурирования (на команду enable) и пароль UsersPassword для пользователя mylogin.

Соответственно, вместо mylogin нужно подставить имя пользователя, для которого хотите менять пароль.

Соответственно и то, что можно менять не оба пароля, а только какой-то один (для enable или для пользователя) или менять пароль для какого угодно пользователя.

Смена пароля пользователя на ASA через Cisco ASDM 5.1: Configuration -> Properties -> Device Administration -> User Accounts, выбираем пользователя, нажимаем кнопку Edit.

enable secret - пароль на вход в режим enable (привилегированный режим), который хранится в маршрутизаторе в зашифрованном виде.

enable password - то же самое, но хранится в незашифрованном виде.

virtual terminal password - пароль виртуального терминала, или пароль Telnet. Если он задан, то любой пользователь, который попытается получить доступ к маршрутизатору по протоколу Telnet, должен будет ввести этот пароль.

Теперь об основных операциях с пользователями и авторизацией.

Команда удаляет учетную запись oldusername:

no username oldusername

Команда создает новую учетную запись:

username ciadmin privilege 15 secret NEWPASSWORD

Команда меняет пароль для существующей учетной записи, причем уровень privilege сохраняется старым:

username ciadmin secret NEWPASSWORD

Следующая команда меняет пароль режима enable. Вместо enable secret можно указать enable password, что то же самое, но пароль хранится в незашифрованном виде:

enable secret NEWPASSWORDSECRET

Следующие две строчки включают авторизацию по логину и паролю перед вводом пароля enable. Вторая строка включает метод аутентификации local, использующий базу данных aaa.

aaa new-model//разрешает модель контроля доступа aaa
aaa authentication login default local

Следующая команда дает возможность сразу после логина через сеть войти в привилегированный режим, не вводя команду enable (как-то непонятно написано в руководстве - "запускает авторизацию, чтобы определить, разрешено ли пользователю запускать шелл EXEC").

aaa authorization exec default local

Когда в конфигурации указаны эти три строки (aaa new-model, aaa authentication login default local, aaa authorization exec default local), то для входа в режим enable через сетевое соединение будет предложен только логин и пароль пользователя (нужно ввести логин и пароль пользователя с уровнем привилегий 15), если законнектиться через консольный порт (RS232), то дополнительно нужно ввести еще ключевое слово enable и пароль enable secret. Если же 3 эти строки не указаны, то для входа в привилегированный режим через консоль достаточно ввести только логин и пароль пользователя с уровнем 15.

Здесь меняется пароль на vpn-клиент (группа vpnaccess):

tunnel-group vpnaccess ipsec-attributes
 pre-shared-key *

Команда, которая показывает пароли enable в конфиге в (открытом)закрытом виде:

(no) service password-encryption