Kennworteinstellungen bei einem CBS-Switch über die CLI

Ziel

Wenn Sie sich zum ersten Mal über die Konsole bei Ihrem Switch anmelden, müssen Sie den Standardbenutzernamen und das Standardkennwort cisco verwenden. Sie werden dann aufgefordert, ein neues Kennwort für das Cisco Konto einzugeben und zu konfigurieren. Die Passwortkomplexität ist standardmäßig aktiviert. Wenn das von Ihnen gewählte Kennwort nicht komplex genug ist, werden Sie aufgefordert, ein anderes Kennwort zu erstellen.

Da Kennwörter zur Authentifizierung von Benutzern verwendet werden, die auf das Gerät zugreifen, stellen einfache Kennwörter potenzielle Sicherheitsrisiken dar. Daher werden Anforderungen an die Kennwortkomplexität standardmäßig erzwungen und können nach Bedarf konfiguriert werden.

Dieser Artikel enthält Anweisungen zum Definieren der grundlegenden Kennworteinstellungen, des Leitungskennworts, des Aktivierungskennworts, der Wiederherstellung von Servicekennwörtern, der Regeln zur Komplexität der Kennwörter für die Benutzerkonten und der Einstellungen für die Kennwortalterung auf dem Switch über die Befehlszeilenschnittstelle (CLI) der Cisco Business Switches der Serien 250 und 350.

Anmerkung: Sie haben auch die Möglichkeit, die Einstellungen für Kennwortstärke und -komplexität über das webbasierte Dienstprogramm des Switches zu konfigurieren. Klicken Sie hier, um weitere Anweisungen zu erhalten.

Unterstützte Geräte | Software-Version

• CBS250 (Datenblatt) | 3.0.0
• CBS350 (Datenblatt) | 3.0.0
• CBS350-2X (Datenblatt) | 3.0.0
• CBS350-4X (Datenblatt) | 3.0.0

Konfigurieren von Kennworteinstellungen über die CLI

Wählen Sie aus den folgenden Optionen die Kennworteinstellungen aus, die Sie konfigurieren möchten:

Kennwort-Grundeinstellungen konfigurieren

Einstellungen für das Leitungskennwort konfigurieren

Einstellungen für die Kennwortaktivierung konfigurieren

Einstellungen für die Wiederherstellung von Servicekennwörtern konfigurieren

Einstellungen für die Kennwortkomplexität konfigurieren

Einstellungen für die Kennwortfälligkeit konfigurieren

Kennwort-Grundeinstellungen konfigurieren

Schritt 1: Melden Sie sich bei der Switch-Konsole an. Der Standardbenutzername und das Standardkennwort lauten cisco.

Anmerkung: Die verfügbaren Befehle können je nach genauem Gerätemodell variieren. In diesem Beispiel wird der CBS350-Switch verwendet.

Schritt 2: Sie werden aufgefordert, ein neues Kennwort für einen besseren Schutz Ihres Netzwerks zu konfigurieren. Drücken Sie auf Ihrer Tastatur Y für Yes (Ja) oder N für No (Nein).

Anmerkung: Drücken Sie in diesem Beispiel die Taste „Y“.

Schritt 3: Geben Sie das alte Kennwort ein, und drücken Sie anschließend die Eingabetaste auf der Tastatur.

Schritt 4: Geben Sie das neue Kennwort entsprechend ein, und bestätigen Sie es. Drücken Sie anschließend die Eingabetaste auf der Tastatur.

Schritt 5: Wechseln Sie in den privilegierten EXEC-Modus, indem Sie den Befehl enable eingeben. Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um die konfigurierten Einstellungen in der Datei mit der Startkonfiguration zu speichern.

CBS350#copy running-config startup-config

Schritt 6: (Optional) Drücken Sie auf der Tastatur auf Y für Yes (Ja) oder N für No (Nein), sobald die Aufforderung „Overwrite file [startup-config]....“ angezeigt wird.

Sie sollten jetzt die Kennwort-Grundeinstellungen auf Ihrem Switch über die CLI konfiguriert haben.

Einstellungen für das Leitungskennwort konfigurieren

Schritt 1: Melden Sie sich bei der Switch-Konsole an. Der Standardbenutzername und das Standardkennwort lauten cisco. Wenn Sie einen neuen Benutzernamen oder ein neues Kennwort konfiguriert haben, müssen Sie an dieser Stelle diese neuen Anmeldeinformationen eingeben.

Schritt 2: Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um in den globalen Konfigurationsmodus zu wechseln.

CBS350#configure terminal

Schritt 3: Um ein Kennwort für eine Leitung wie Konsole, Telnet, Secure Shell (SSH) usw. zu konfigurieren, wechseln Sie in den Kennwortkonfigurationsmodus ein, indem Sie Folgendes eingeben:

CBS350(config)#line [Zeilenname]

Anmerkung: In diesem Beispiel wird die Leitung Telnet verwendet.

Schritt 4: Geben Sie den Kennwortbefehl für die Leitung ein, indem Sie Folgendes eingeben:

CBS350(config-line)#password [Kennwort][verschlüsselt]

Folgende Optionen sind verfügbar:

• password – Gibt das Kennwort für die Leitung an. Die Länge liegt zwischen 0 und 159 Zeichen.
• encrypted – (Optional) Gibt an, dass das Kennwort verschlüsselt und von einer anderen Gerätekonfiguration kopiert wird.

Anmerkung: In diesem Beispiel wird das Kennwort Cisco123$ für die Telnet-Leitung angegeben.

Schritt 5: (Optional) Geben Sie Folgendes ein, um das Leitungskennwort auf das Standardkennwort zurückzusetzen:

CBS350(config-line)#no password

Schritt 6: Geben Sie den Befehl end ein, um wieder in den privilegierten EXEC-Modus zu wechseln.

CBS350(config)#end

Schritt 7: Geben Sie optional im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um die konfigurierten Einstellungen in der Datei mit der Startkonfiguration zu speichern.

CBS350#copy running-config startup-config

Schritt 8: (Optional) Drücken Sie auf der Tastatur auf Y für Yes (Ja) oder N für No (Nein), sobald die Aufforderung „Overwrite file [startup-config]....“ angezeigt wird.

Sie sollten jetzt die Einstellungen für das Leitungskennwort über die CLI auf Ihrem Switch konfiguriert haben.

Einstellungen für die Kennwortaktivierung konfigurieren

Wenn Sie ein neues Aktivierungskennwort konfigurieren, wird es automatisch verschlüsselt und in der aktuellen Konfigurationsdatei gespeichert. Unabhängig davon, wie das Kennwort eingegeben wurde, wird es in der aktuellen Konfigurationsdatei mit dem verschlüsselten Schlüsselwort zusammen mit dem verschlüsselten Kennwort angezeigt.

Führen Sie die folgenden Schritte aus, um die Einstellungen für die Kennwortaktivierung über die CLI auf Ihrem Switch zu konfigurieren:

Schritt 1: Melden Sie sich bei der Switch-Konsole an. Der Standardbenutzername und das Standardkennwort lauten cisco. Wenn Sie einen neuen Benutzernamen oder ein neues Kennwort konfiguriert haben, müssen Sie an dieser Stelle diese neuen Anmeldeinformationen eingeben.

Schritt 2: Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um in den globalen Konfigurationsmodus zu wechseln.

CBS350#configure terminal

Schritt 3: Geben Sie Folgendes ein, um ein lokales Kennwort für bestimmte Benutzerzugriffsebenen auf Ihrem Switch zu konfigurieren:

CBS350(config)#enable password [Berechtigungsebene] [unverschlüsseltes Kennwort] | encrypted encrypted-password]

Folgende Optionen sind verfügbar:

• level privilege-level — Gibt die Ebene an, für die das Kennwort gilt. Die Ebene reicht von 1 bis 15. Wenn keine Angabe erfolgt, wird die Ebene auf den Standardwert 15 festgelegt. Die Benutzerebenen lauten wie folgt:

Schreibgeschützter CLI-Zugriff (1): Der Benutzer kann nicht auf die grafische Benutzeroberfläche zugreifen und hat nur Zugriff auf CLI-Befehle, mit denen die Gerätekonfiguration nicht geändert wird.

CLI-Lesezugriff/eingeschränkter Schreibzugriff (7): Der Benutzer kann nicht auf die grafische Benutzeroberfläche zugreifen und hat nur Zugriff auf einige CLI-Befehle, mit denen die Gerätekonfiguration geändert wird. Weitere Informationen hierzu finden Sie im CLI-Referenzhandbuch.

Verwaltungs-Lese-/Schreibzugriff (15): Der Benutzer kann auf die grafische Benutzeroberfläche zugreifen und das Gerät konfigurieren.

CBS350(config)#enable password level 7 Cisco123$

Hinweis: In diesem Beispiel wird das Kennwort Cisco123$ für das Benutzerkonto der Ebene 7 festgelegt.

• unencrypted-password – Das Kennwort für den Benutzernamen, den Sie aktuell verwenden. Die Länge liegt zwischen 0 und 159 Zeichen.

CBS350(config)#enable password level Cisco123$

Hinweis: In diesem Beispiel wird das Kennwort Cisco123$ verwendet.

• encrypted encrypted-password — Gibt an, dass das Kennwort verschlüsselt ist. Sie können diesen Befehl verwenden, um ein Kennwort einzugeben, das bereits aus einer anderen Konfigurationsdatei eines anderen Geräts verschlüsselt wurde. Auf diese Weise können Sie die beiden Switches mit demselben Kennwort konfigurieren.

CBS350(config)#enable password encrypted 6f43205030a2f3a1e243873007370fab

Anmerkung: In diesem Beispiel lautet das verschlüsselte Kennwort 6f43205030a2f3a1e243873007370fab. Dies ist die verschlüsselte Version von Cisco123$.

Anmerkung: Im obigen Beispiel wird das Aktivierungskennwort Cisco123$ für den Zugriff auf Ebene 7 festgelegt.

Schritt 4: (Optional) Geben Sie Folgendes ein, um das Benutzerkennwort auf das Standardkennwort zurückzusetzen:

CBS350(config)#no enable password

Schritt 5: Geben Sie den Befehl exit ein, um wieder in den privilegierten EXEC-Modus zu wechseln.

CBS350(config)#exit

Schritt 6: Geben Sie optional im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um die konfigurierten Einstellungen in der Datei mit der Startkonfiguration zu speichern.

CBS350#copy running-config startup-config

Schritt 7: (Optional) Drücken Sie auf der Tastatur auf Y für Yes (Ja) oder N für No (Nein), sobald die Aufforderung „Overwrite file [startup-config]....“ angezeigt wird.

Sie sollten jetzt die Einstellungen für das Aktivierungskennwort über die CLI auf Ihrem Switch konfiguriert haben.

Einstellungen für die Wiederherstellung von Servicekennwörtern konfigurieren

Der Mechanismus zur Wiederherstellung des Servicekennworts bietet Ihnen unter den folgenden Bedingungen physischen Zugriff auf den Konsolen-Port des Geräts:

• Wenn die Kennwortwiederherstellung aktiviert ist, können Sie auf das Boot-Menü zugreifen und die Kennwortwiederherstellung im Boot-Menü auslösen. Alle Konfigurationsdateien und Benutzerdateien bleiben erhalten.
• Wenn die Kennwortwiederherstellung deaktiviert ist, können Sie auf das Boot-Menü zugreifen und die Kennwortwiederherstellung im Boot-Menü auslösen. Die Konfigurationsdateien und Benutzerdateien werden entfernt.
• Wenn ein Gerät so konfiguriert ist, dass es seine vertraulichen Daten mit einer benutzerdefinierten Passphrase für sichere vertrauliche Daten schützt, können Sie die Kennwortwiederherstellung nicht über das Boot-Menü auslösen, selbst wenn die Kennwortwiederherstellung aktiviert ist.

Die Wiederherstellung des Servicekennworts ist standardmäßig aktiviert. Führen Sie die folgenden Schritte aus, um die Einstellungen für die Wiederherstellung von Servicekennwörtern über die CLI auf Ihrem Switch zu konfigurieren:

Schritt 1: Melden Sie sich bei der Switch-Konsole an. Der Standardbenutzername und das Standardkennwort lauten cisco. Wenn Sie einen neuen Benutzernamen oder ein neues Kennwort konfiguriert haben, müssen Sie an dieser Stelle diese neuen Anmeldeinformationen eingeben.

Schritt 2: Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um in den globalen Konfigurationsmodus zu wechseln.

CBS350#configure terminal

Schritt 3: (Optional) Geben Sie Folgendes ein, um die Einstellung für die Kennwortwiederherstellung auf dem Switch zu aktivieren:

CBS350#service password-recovery

Schritt 4: (Optional) Geben Sie Folgendes ein, um die Einstellung für die Kennwortwiederherstellung auf dem Switch zu deaktivieren:

CBS350#no service password-recovery

Schritt 5: (Optional) Drücken Sie auf der Tastatur die Taste Y für Yes (Ja) oder N für No (Nein), sobald die nachfolgende Aufforderung erscheint.

Anmerkung: Drücken Sie in diesem Beispiel die Taste „Y“.

Schritt 6: Geben Sie den Befehl exit ein, um wieder in den privilegierten EXEC-Modus zu wechseln.

CBS350(config)#exit

Schritt 7: Geben Sie optional im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um die konfigurierten Einstellungen in der Datei mit der Startkonfiguration zu speichern.

CBS350#copy running-config startup-config

Schritt 8: (Optional) Drücken Sie auf der Tastatur auf Y für Yes (Ja) oder N für No (Nein), sobald die Aufforderung „Overwrite file [startup-config]....“ angezeigt wird.

Sie sollten jetzt die Einstellungen für die Kennwortwiederherstellung über die CLI auf Ihrem Switch konfiguriert haben.

Einstellungen für die Kennwortkomplexität konfigurieren

Mit den Einstellungen für Kennwortkomplexität werden die Komplexitätsregeln für Kennwörter aktiviert. Wenn diese Funktion aktiviert ist, müssen neue Kennwörter den folgenden Standardeinstellungen entsprechen:

• Sie müssen eine Mindestlänge von acht Zeichen haben.
• Sie müssen Zeichen aus mindestens vier Zeichenklassen enthalten, wie z. B. Großbuchstaben, Kleinbuchstaben, Zahlen und auf einer Standardtastatur verfügbare Sonderzeichen.
• Sie dürfen nicht mit dem aktuellen Kennwort identisch sein.
• Sie dürfen kein Zeichen enthalten, das öfter als dreimal hintereinander wiederholt wird.
• Sie dürfen den Benutzernamen oder eine durch Ändern der Groß-/Kleinschreibung erzielte Variante weder vorwärts noch rückwärts geschrieben enthalten.
• Sie dürfen den Herstellernamen oder eine durch Ändern der Groß-/Kleinschreibung erzielte Variante weder vorwärts noch rückwärts geschrieben enthalten.

Sie können die oben genannten Attribute der Kennwortkomplexität mit bestimmten Befehlen steuern. Wenn Sie zuvor andere Komplexitätseinstellungen konfiguriert haben, werden diese Einstellungen verwendet.

Diese Funktion ist standardmäßig aktiviert. Führen Sie die folgenden Schritte aus, um die Einstellungen für die Kennwortkomplexität über die CLI auf Ihrem Switch zu konfigurieren:

Schritt 1: Melden Sie sich bei der Switch-Konsole an. Der Standardbenutzername und das Standardkennwort lauten cisco. Wenn Sie einen neuen Benutzernamen oder ein neues Kennwort konfiguriert haben, müssen Sie an dieser Stelle diese neuen Anmeldeinformationen eingeben.

Schritt 2: Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um in den globalen Konfigurationsmodus zu wechseln.

CBS350#configure terminal

Schritt 3: (Optional) Geben Sie Folgendes ein, um die Einstellung für die Kennwortkomplexität auf dem Switch zu aktivieren:

CBS350(config)#Kennwort-Komplexität aktiviert

Schritt 4: (Optional) Geben Sie Folgendes ein, um die Einstellung für die Kennwortkomplexität auf dem Switch zu deaktivieren:

CBS350(config)#no passwords complex enable

Schritt 5: (Optional) Geben Sie Folgendes ein, um die Mindestanforderungen für ein Kennwort zu konfigurieren:

CBS350(config)#Komplexität von Kennwörtern [Nummer der Mindestlänge] [Nummer der Mindestklassen] [nicht aktuell] [keine wiederholte Nummer] [kein Benutzername] [kein Herstellername]

Folgende Optionen sind verfügbar:

• min-length number — Legt die Mindestlänge des Kennworts fest. Möglich sind Werte im Bereich von 0 bis 64 Zeichen. Der Standardwert ist 8.
• min-classes number – Legt die Mindestanzahl an Zeichenklassen fest, wie z. B. Großbuchstaben, Kleinbuchstaben, Zahlen und auf einer Standardtastatur verfügbare Sonderzeichen. Der Bereich liegt zwischen 0 und 4 Klassen. Der Standardwert ist 3.
• not-current – Gibt an, dass das neue Kennwort nicht mit dem aktuellen Kennwort identisch sein darf.
• no-repeat number – Gibt die maximale Anzahl von Zeichen im neuen Kennwort an, die nacheinander wiederholt werden können. Null gibt an, dass es keine Begrenzung für wiederholte Zeichen gibt. Möglich sind Werte im Bereich von 0 bis 16 Zeichen. Der Standardwert ist 3.
• not-username – Gibt an, dass das Kennwort den Benutzernamen oder eine durch Ändern der Groß-/Kleinschreibung erzielte Variante weder vorwärts noch rückwärts geschrieben enthalten darf.
• not-manufacture-name – Gibt an, dass das Kennwort den Herstellernamen oder eine durch Ändern der Groß-/Kleinschreibung erzielte Varianteweder vorwärts noch rückwärts geschrieben enthalten darf.

Anmerkung: Durch diese Befehle werden die anderen Einstellungen nicht gelöscht. Die Konfiguration der Einstellungen für die Kennwortkomplexität funktioniert nur als Umschalter.

Anmerkung: In diesem Beispiel ist die Kennwortkomplexität auf mindestens 9 Zeichen festgelegt, der Benutzername darf nicht vorwärts oder rückwärts geschrieben darin enthalten sein und er darf nicht mit dem aktuellen Kennwort identisch sein.

Schritt 6: Geben Sie den Befehl exit ein, um wieder in den privilegierten EXEC-Modus zu wechseln.

CBS350(config)#exit

Schritt 7: Geben Sie optional im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um die konfigurierten Einstellungen in der Datei mit der Startkonfiguration zu speichern.

CBS350#copy running-config startup-config

Schritt 8: (Optional) Drücken Sie auf der Tastatur auf Y für Yes (Ja) oder N für No (Nein), sobald die Aufforderung „Overwrite file [startup-config]....“ angezeigt wird.

Sie sollten jetzt die Einstellungen für die Kennwortkomplexität über die CLI auf Ihrem Switch konfiguriert haben.

Fahren Sie mit Einstellungen für die Kennwortkonfiguration anzeigen fort, um die Einstellungen für die Kennwortkonfiguration in der CLI Ihres Switches anzuzeigen.

Einstellungen für die Kennwortfälligkeit konfigurieren

Die Fälligkeit ist nur für Benutzer der lokalen Datenbank mit Berechtigungsstufe 15 und für konfigurierte Aktivierungskennwörter der Berechtigungsstufe 15 relevant. Die Standardkonfiguration beträgt 180 Tage.

Führen Sie die folgenden Schritte aus, um die Einstellungen für die Kennwortkomplexität über die CLI auf Ihrem Switch zu konfigurieren:

Schritt 1: Melden Sie sich bei der Switch-Konsole an. Der Standardbenutzername und das Standardkennwort lauten cisco. Wenn Sie einen neuen Benutzernamen oder ein neues Kennwort konfiguriert haben, müssen Sie an dieser Stelle diese neuen Anmeldeinformationen eingeben.

Schritt 2: Geben Sie im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um in den globalen Konfigurationsmodus zu wechseln.

CBS350#configure terminal

Schritt 3: Geben Sie Folgendes ein, um die Einstellung für die Kennwortfälligkeit auf dem Switch festzulegen:

CBS350(config)#Kennwörter veralten [Tage]

• days — Gibt die Anzahl der Tage an, bevor eine Änderung des Kennworts erzwungen wird. Sie können 0 verwenden, um die Fälligkeit zu deaktivieren. Der Bereich liegt zwischen 0 und 365 Tagen.

Anmerkung: In diesem Beispiel ist die Kennwortfälligkeit auf 60 Tage festgelegt.

Schritt 4: (Optional) Geben Sie Folgendes ein, um die Einstellung für die Kennwortfälligkeit auf dem Switch zu deaktivieren:

CBS350(config)#no passwords aging 0

Schritt 5: (Optional) Geben Sie Folgendes ein, um die Kennwortfälligkeit auf die Standardeinstellung zurückzusetzen:

CBS350(config)#no passwords aging [days]

Schritt 6: Geben Sie den Befehl exit ein, um wieder in den privilegierten EXEC-Modus zu wechseln.

CBS350(config)#exit

Schritt 7: Geben Sie optional im privilegierten EXEC-Modus des Switch den nachfolgenden Befehl ein, um die konfigurierten Einstellungen in der Datei mit der Startkonfiguration zu speichern.

CBS350#copy running-config startup-config

Schritt 8: (Optional) Drücken Sie auf der Tastatur auf Y für Yes (Ja) oder N für No (Nein), sobald die Aufforderung „Overwrite file [startup-config]....“ angezeigt wird.

Sie sollten jetzt die Einstellungen für die Kennwortfälligkeit über die CLI auf Ihrem Switch konfiguriert haben.

Fahren Sie mit Einstellungen für die Kennwortkonfiguration anzeigen fort, um die Einstellungen für die Kennwortkonfiguration in der CLI Ihres Switches anzuzeigen.

Einstellungen für die Kennwortkonfiguration anzeigen

Die Fälligkeit ist nur für Benutzer der lokalen Datenbank mit Berechtigungsstufe 15 und für konfigurierte Aktivierungskennwörter der Berechtigungsstufe 15 relevant. Die Standardkonfiguration beträgt 180 Tage.

Schritt 1: Geben Sie im privilegierten EXEC-Modus des Switches Folgendes ein:

CBS350(config)#show passwords configuration