Re: ID:44688
arashi1977
居住地: 広島
投稿数: 1715
引用:kaminaringoさんが指摘している通り、もともと42007はusernameコマンド(ローカルデータベースへのユーザ作成)の設問であって、特権ユーザ用のパスワード設定に関する設問ではありません。また解説の「【ユーザーアカウント作成の注意事項】」にもあるとおり
引用:と言っています。ちなみに、あべこべで一貫性のない動作ではなく、歴史的な理由やシステム的な制約もあるかなと思っています。
enable password/secret:もともとenable passwordが使われていたが、パスワード解読ツールが出回ったため、復号できないenable secretがあとから追加された。そのため、コンフィグやIOSのバージョン相違でも両方入るようになっている。(両方設定があれば、よりセキュアなenable secretが優先される)
※特権レベルへの昇格に使うパスワード(シークレット)なので、データベースのキーとかいう考え方はない
username password/secret: ユーザ名はローカルデータベースのキーなので、二重に登録させられない。なのでpassword→secretの切り替えがしたければ一旦削除が必要。(推測)
引用:あってますね。
引用:line vtyの「login authentication USE_LINE」で使われていますよ。(解説の図にも記載あり)
引用:ごっちゃになってるみたいですね。
この問題は「aaa authentication login」で
- default ではない任意のリストを作成していて
- 認証メソッドに line が設定されていて(line パスワードを使う)
- username コマンドでローカルデータベースが作成されていて(ダミー)
- vty に line パスワードが設定されていて(USE_LINE リストが参照するパスワード)
- vty に「login authentication USE_LINE」(任意のリストが指定)されている
場合に、telnetで(VTYに)接続する際の認証方式およびパスワードがどれになるかを聞かれているものですよ。
引用:そのとおりで、AAA認証でUSE_LINE(つまりline vtyのpasswordで設定されたパスワード)をつかった認証をするようになっていますよ。
落ち着いてそれぞれ(44688, 42007, 42244)の解説を読んで、解説のどの部分に対しての疑問かを整理してみてください。もしかすると、新しく気づきがあるかもしれませんよ。
>42007
>よく見てください、別のコマンドです。
別のコマンドだという認識ではありませんでした。私が引用したとおり「後から入力しているsecretは受け付けられていない」と書かれていたこともあり「secret」という単語の動作を説明しているものと認識していました。ですが、今解説を見るとその部分はちゃんと「username secret」となってますね・・・私が見間違えたのか修正が入ったのか・・・。
納得いきませんが、Packet Tracerで確かにsecretは弾かれて同じ動作をしました。usernameはあべこべで一貫性のない動作をすると覚えるしかないですか・・・。
引用:
1つのユーザー名に対して「password」または「secret」のどちらか一方しか使用できない
enable password/secret:もともとenable passwordが使われていたが、パスワード解読ツールが出回ったため、復号できないenable secretがあとから追加された。そのため、コンフィグやIOSのバージョン相違でも両方入るようになっている。(両方設定があれば、よりセキュアなenable secretが優先される)
※特権レベルへの昇格に使うパスワード(シークレット)なので、データベースのキーとかいう考え方はない
username password/secret: ユーザ名はローカルデータベースのキーなので、二重に登録させられない。なのでpassword→secretの切り替えがしたければ一旦削除が必要。(推測)
引用:
>42244
>「line」になっています。このmethodでは(config-line)#passswordが使われます。
これはline(ユーザモード)に入るときに「USE_LINE」というリストを参照して認証するということではないのですか?
引用:
仰る通りlineパスワードで設定したものを参照するのであれば、「USE_LINE」というリストは認証で一切使われないということになりますよね?
引用:
ましてや同一行で記述されているのでUSE_LINEとLINEパスワードに優先度もなにもないですよね。では何のためにこのリストを設定しているのですか?
この問題は「aaa authentication login」で
- default ではない任意のリストを作成していて
- 認証メソッドに line が設定されていて(line パスワードを使う)
- username コマンドでローカルデータベースが作成されていて(ダミー)
- vty に line パスワードが設定されていて(USE_LINE リストが参照するパスワード)
- vty に「login authentication USE_LINE」(任意のリストが指定)されている
場合に、telnetで(VTYに)接続する際の認証方式およびパスワードがどれになるかを聞かれているものですよ。
引用:
しかも最後の行は#login authenticationと、ちゃんとAAAを認証に使うようになっています。ですので設定だけして使わないということでもないはずです、最優先じゃないのでしょうか。
落ち着いてそれぞれ(44688, 42007, 42244)の解説を読んで、解説のどの部分に対しての疑問かを整理してみてください。もしかすると、新しく気づきがあるかもしれませんよ。
投稿ツリー
-
ID:44688
(LEVVIN, 2020-5-26 17:46)
-
Re: ID:44688
(kaminaringo, 2020-5-26 19:43)
-
Re: ID:44688
(staff_koba, 2020-5-27 8:59)
-
Re: ID:44688
(LEVVIN, 2020-5-27 17:48)
- Re: ID:44688 (staff_koba, 2020-5-28 10:03)
-
Re: ID:44688
(LEVVIN, 2020-5-27 17:48)
-
Re: ID:44688
(LEVVIN, 2020-5-27 18:19)
-
Re: ID:44688
(kaminaringo, 2020-5-27 20:44)
-
Re: ID:44688
(LEVVIN, 2020-5-28 0:49)
-
Re: ID:44688
(arashi1977, 2020-5-28 9:36)
-
Re: ID:44688
(LEVVIN, 2020-5-28 22:11)
-
Re: ID:44688
(arashi1977, 2020-6-4 9:04)
- Re: ID:44688 (LEVVIN, 2020-6-4 20:15)
-
Re: ID:44688
(arashi1977, 2020-6-4 9:04)
-
Re: ID:44688
(LEVVIN, 2020-5-28 22:11)
-
Re: ID:44688
(arashi1977, 2020-5-28 9:36)
-
Re: ID:44688
(LEVVIN, 2020-5-28 0:49)
-
Re: ID:44688
(kaminaringo, 2020-5-27 20:44)
-
Re: ID:44688
(staff_koba, 2020-5-27 8:59)
-
Re: ID:44688
(kaminaringo, 2020-5-26 19:43)