Vidéo: Cisco ISE :: Reset Locked-Out Admin Password 2024
Si vous voulez limiter le nombre de fois un utilisateur de Cisco peut tenter d'authentifier vous devez activer un système de verrouillage de connexion échoué. Par défaut, il n'y a aucune limite à combien de temps ils peuvent essayer de manière incorrecte, mais la possibilité d'activer un système de verrouillage de réessai est intégrée dans le Cisco IOS actuel.
Un verrouillage de connexion échoué est important car tous les utilisateurs auxquels le niveau de privilège 15 a été accordé (l'ensemble le plus élevé de droits de sécurité) ne sont généralement pas verrouillés. Après l'activation de cette fonctionnalité, même ces comptes d'utilisateurs privilégiés sont verrouillés s'ils dépassent leurs tentatives de connexion. Le nombre d'utilisateurs privilégiés doit toujours être réduit au minimum.
Après le verrouillage, ces comptes sont verrouillés jusqu'à ce que vous les déverrouilliez manuellement. Pour activer cela, vous devez simplement modifier le processus d'authentification AAA (Authentication, Authorization, Accounting) pour utiliser la nouvelle authentification AAA (qui prend en charge le verrouillage de compte) que Cisco appelle intelligemment new-model . Ne vous inquiétez pas, même si vous modifiez le processus d'authentification AAA, vous pouvez toujours spécifier que les utilisateurs seront authentifiés localement et non via le serveur AAA, comme indiqué dans le jeu de commandes suivant:
Router1 # enable Mot de passe: Router1 # configure terminal Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z. Router1 (config) # aaa nouveau-modèle Router1 (config) #aaa tentatives d'authentification locales max-fail 5 Router1 (config) #aaa authentification login par défaut local Router1 (config) # end
Si un compte est verrouillé, vous pouvez utiliser la commande suivante en mode Privileged EXEC pour déverrouiller un compte, comme dans l'exemple suivant. Cette commande peut appliquer un utilisateur spécifique ou tous.
effacer aaa utilisateur local lockout nom d'utilisateur etetz
Le compteur n'est jamais réinitialisé, donc si vous avez plusieurs échecs de connexion sur quelques jours, réinitialisez le compteur avec une commande spécifiant tous les comptes, ou juste le vôtre. Voici la commande à lancer en mode Privileged EXEC:
effacer aaa utilisateur local fail-tentatives nom d'utilisateur etetz
