Re: ID:44688

この質問の投稿一覧へ

なし Re: ID:44688

msg# 1.1.2.1.1.1
depth:
5
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2020-5-28 9:36
arashi1977  長老 居住地: 広島  投稿数: 1715
引用:
>42007
>よく見てください、別のコマンドです。
別のコマンドだという認識ではありませんでした。私が引用したとおり「後から入力しているsecretは受け付けられていない」と書かれていたこともあり「secret」という単語の動作を説明しているものと認識していました。ですが、今解説を見るとその部分はちゃんと「username secret」となってますね・・・私が見間違えたのか修正が入ったのか・・・。
納得いきませんが、Packet Tracerで確かにsecretは弾かれて同じ動作をしました。usernameはあべこべで一貫性のない動作をすると覚えるしかないですか・・・。
kaminaringoさんが指摘している通り、もともと42007はusernameコマンド(ローカルデータベースへのユーザ作成)の設問であって、特権ユーザ用のパスワード設定に関する設問ではありません。また解説の「【ユーザーアカウント作成の注意事項】」にもあるとおり
引用:
1つのユーザー名に対して「password」または「secret」のどちらか一方しか使用できない
と言っています。ちなみに、あべこべで一貫性のない動作ではなく、歴史的な理由やシステム的な制約もあるかなと思っています。

enable password/secret:もともとenable passwordが使われていたが、パスワード解読ツールが出回ったため、復号できないenable secretがあとから追加された。そのため、コンフィグやIOSのバージョン相違でも両方入るようになっている。(両方設定があれば、よりセキュアなenable secretが優先される)
※特権レベルへの昇格に使うパスワード(シークレット)なので、データベースのキーとかいう考え方はない

username password/secret: ユーザ名はローカルデータベースのキーなので、二重に登録させられない。なのでpassword→secretの切り替えがしたければ一旦削除が必要。(推測)

引用:
>42244
>「line」になっています。このmethodでは(config-line)#passswordが使われます。
これはline(ユーザモード)に入るときに「USE_LINE」というリストを参照して認証するということではないのですか?
あってますね。

引用:
仰る通りlineパスワードで設定したものを参照するのであれば、「USE_LINE」というリストは認証で一切使われないということになりますよね?
line vtyの「login authentication USE_LINE」で使われていますよ。(解説の図にも記載あり)

引用:
ましてや同一行で記述されているのでUSE_LINEとLINEパスワードに優先度もなにもないですよね。では何のためにこのリストを設定しているのですか?
ごっちゃになってるみたいですね。
この問題は「aaa authentication login」で
- default ではない任意のリストを作成していて
- 認証メソッドに line が設定されていて(line パスワードを使う)
- username コマンドでローカルデータベースが作成されていて(ダミー)
- vty に line パスワードが設定されていて(USE_LINE リストが参照するパスワード)
- vty に「login authentication USE_LINE」(任意のリストが指定)されている
場合に、telnetで(VTYに)接続する際の認証方式およびパスワードがどれになるかを聞かれているものですよ。

引用:
しかも最後の行は#login authenticationと、ちゃんとAAAを認証に使うようになっています。ですので設定だけして使わないということでもないはずです、最優先じゃないのでしょうか。
そのとおりで、AAA認証でUSE_LINE(つまりline vtyのpasswordで設定されたパスワード)をつかった認証をするようになっていますよ。

落ち着いてそれぞれ(44688, 42007, 42244)の解説を読んで、解説のどの部分に対しての疑問かを整理してみてください。もしかすると、新しく気づきがあるかもしれませんよ。

投稿ツリー

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.