E a dica desse artigo é sobre autenticação de usuários no Cisco IOS, mais especificamente sobre autenticação via banco de dados local.

Esse conteúdo faz parte do nosso curso “Administrando Usuários no Cisco IOS“.

Vamos lá!

Uma maneira de configurar o acesso administrativo local e remoto em Roteadores e Switches Cisco é utilizando um usuário e uma senha, o qual é criado comando “username”.

Existem duas opções de configurar o usuário e a senha, conforme abaixo:

1. username usuario password senha
2. username usuario secret senha

A diferença entre os dois é que o primeiro vem sem criptografia, necessitando do comando “service password-encryption” para ser criptografado.

Já a opção 2 é como o enable secret, ou seja, já vem criptografado com MD-5 na saída do “show run”.

Veja um exemplo de configuração a seguir.

R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#username Admin secret ciscoooooo
R1(config)#username User password ciscoooooo
R1(config)#end
R1#

Agora veja a saída das configurações e note a diferença do uso da opção “secret” com a “password” (sem o service encryption) respectivamente.

R1#sho run
Building configuration…
Current configuration : 1114 bytes
!
version 12.4
!
… saida omitida
!
username Admin secret 5 $1$dbJB$2eahYM/Nx08dcDOjbEiHr1
username User password 0 ciscoooooo
!

Você pode criar quantos usuários desejar ou necessitar para administrar seus dispositivos Cisco.

Para fazer com que as lines peçam o usuário configurado no banco de dados local utilize o comando “login local” dentro da line.

Nessa opção de configuração não será mais necessário configurar o comando “password”, pois o login local vai pedir um usuário criado com o comando “username” para autenticação agora.

Para remover a senha antiga você pode entrar com o comando “no password dltec2”, por exemplo.

Veja abaixo a configuração das lines de 0 a 4 para utilização dos usuários locais ao invés das senhas simples.

R1(config)#no aaa new-model
R1(config)#line vty 0 4
R1(config-line)#login local

Veja como fica na configuração do roteador.

R1#sho run
Building configuration…
Current configuration : 1114 bytes
!
version 12.4
!
… saída omitida
!
line vty 0 4
login local
… saída omitida
!
End

Após a configuração veja um teste de acesso telnet como fica o prompt inicial.

R1#
*Apr 21 16:41:27.303: %SYS-5-CONFIG_I: Configured from console by console
R1#
R1#telnet 192.168.1.110
Trying 192.168.1.110 … Open
User Access Verification
Username: Admin
Password:
R1>

Algumas versões de IOS tem o serviço de AAA ativado por padrão, nesse caso o comando login local não irá funcionar, para utilizar a configuração acima digite “no aaa new-model”.

Você pode também utilizar o “login local” e pedir usuários e senhas nas lines de console e auxiliar.

Essa configuração com login local não é muito comum na console, porém é utilizada na auxiliar devido ao PPP com a autenticação CHAP (mais segura) exigir no momento da configuração.

Observações:
Já consideramos nesse tópico que os usuários estão devidamente criados.
A mesma configuração pode ser utilizada para a line console.

Lembrando mais uma vez que esse conteúdo faz parte do nosso curso “Administrando Usuários no Cisco IOS“.