Wachtwoordinstellingen op een CBS-Switch via de CLI

Doel

De eerste keer dat u zich via de console bij uw switch aanmeldt, moet u de standaardgebruikersnaam en het standaardwachtwoord (beide cisco) gebruiken. Vervolgens wordt u gevraagd een nieuw wachtwoord in te voeren en te configureren voor de Cisco-account. Wachtwoordcomplexiteit is standaard ingeschakeld. Als het door u gekozen wachtwoord niet complex genoeg is, wordt u gevraagd een ander wachtwoord te maken.

Omdat wachtwoorden worden gebruikt om gebruikers te verifiëren die toegang tot het apparaat proberen te krijgen, zijn eenvoudige wachtwoorden potentiële security risico’s. Daarom worden vereisten voor wachtwoordcomplexiteit standaard afgedwongen en kunnen deze desgewenst worden geconfigureerd.

Dit artikel bevat informatie over het definiëren van basiswachtwoordinstellingen, regelwachtwoord, het inschakelen van wachtwoordherstel, wachtwoordcomplexiteitsregels voor gebruikersaccounts en wachtwoordverouderingsinstellingen op uw switch via de Command Line Interface (CLI) in Cisco Business Switches (CBS) 250- en 350-serie.

Opmerking: U kunt de instellingen voor de sterkte en complexiteit van wachtwoorden ook configureren via het webgebaseerde hulpprogramma van de switch. Klik hier voor instructies.

Toepasselijke apparaten | Softwareversie

• CBS250 (gegevensblad) | 3.0.0
• CBS350 (Gegevensblad) | 3.0.0
• CBS350-2X (gegevensblad) | 3.0.0
• CBS350-4X (gegevensblad) | 3.0.0

Wachtwoordinstellingen configureren via de opdrachtregelinterface

Kies uit de onderstaande opties de wachtwoordinstellingen die u wilt configureren:

Instellingen voor het basiswachtwoord configureren

Instellingen voor lijnwachtwoorden configureren

Instellingen voor enable-wachtwoorden configureren

Service voor wachtwoordherstel configureren

Instellingen voor wachtwoordcomplexiteit configureren

Instellingen voor wachtwoordveroudering configureren

Instellingen voor het basiswachtwoord configureren

Stap 1. Meld u aan bij de switch-console. Zowel de standaardgebruikersnaam als het standaardwachtwoord is cisco.

Opmerking: Welke opdrachten of opties beschikbaar zijn, is afhankelijk van het exacte model van uw apparaat. In dit voorbeeld wordt de CBS350-switch gebruikt.

Stap 2. U wordt gevraagd een nieuw wachtwoord te configureren voor betere bescherming van uw netwerk. Gebruik het toetsenbord om Y voor Ja of N voor Nee te kiezen.

Opmerking: In dit voorbeeld wordt op Y gedrukt.

Stap 3. Voer het oude wachtwoord in en druk op Enter.

Stap 4. Voer het nieuwe wachtwoord in, bevestig het en druk op Enter.

Stap 5. Open de modus Privileged EXEC met de opdracht enable. Sla in de modus Privileged EXEC van de switch de geconfigureerde instellingen op in het configuratiebestand voor opstarten. Voer hiervoor de volgende opdracht in:

CBS350#copy in werking stelt -in werking stellen-configuratie opstartconfiguratie

Stap 6. (Optioneel) Gebruik het toetsenbord om Y voor Ja of N voor Nee te kiezen wanneer de prompt ‘Overwrite file [startup-config]…’ wordt getoond voor het overschrijven van het huidige configuratiebestand voor opstarten.

U heeft nu op uw switch de instellingen voor het basiswachtwoord geconfigureerd via de opdrachtregelinterface.

Instellingen voor lijnwachtwoorden configureren

Stap 1. Meld u aan bij de switch-console. Zowel de standaardgebruikersnaam als het standaardwachtwoord is cisco. Als u een nieuwe gebruikersnaam of een nieuw wachtwoord heeft geconfigureerd, moet u deze inloggegevens gebruiken.

Stap 2. Activeer vanuit de modus Privileged EXEC van de switch de modus Global Configuration met de volgende opdracht:

CBS350#fig-terminal

Stap 3. Als u een wachtwoord voor een lijn, zoals een console, Telnet of Secure Shell (SSH), wilt configureren, opent u de lijnconfiguratiemodus voor wachtwoorden in door het volgende in te voeren:

CBS350 (configuratie)#line [line-name]

Opmerking: In dit voorbeeld is Telnet de gebruikte lijn.

Stap 4. Voer de wachtwoordopdracht voor de lijn in door het volgende in te voeren:

CBS350 (configuratie-regel)#wachtwoord [wachtwoord] [versleuteld]

De opties zijn:

• wachtwoord: hier geeft u het wachtwoord voor de lijn op. De lengte varieert van 0 tot 159 tekens.
• encrypted: (optioneel) hiermee geeft u op dat het wachtwoord is versleuteld en gekopieerd uit een andere apparaatconfiguratie.

Opmerking: In dit voorbeeld wordt het wachtwoord Cisco123$ opgegeven voor de Telnet-lijn.

Stap 5. (Optioneel) Voer het volgende in als u voor het lijnwachtwoord het standaardwachtwoord wilt herstellen:

CBS350 (configuratie-lijn)#geen wachtwoord

Stap 6. Voer de opdracht end in om terug te keren naar de modus Privileged EXEC van de switch.

CBS350 (configuratie)#end

Stap 7. (Optioneel) Sla in de modus Privileged EXEC van de switch de geconfigureerde instellingen op in het configuratiebestand voor opstarten. Voer hiervoor de volgende opdracht in:

CBS350#copy in werking stelt -in werking stellen-configuratie opstartconfiguratie

Stap 8. (Optioneel) Gebruik het toetsenbord om Y voor Ja of N voor Nee te kiezen wanneer de prompt ‘Overwrite file [startup-config]…’ wordt getoond voor het overschrijven van het huidige configuratiebestand voor opstarten.

U heeft nu op uw switch de instellingen voor lijnwachtwoorden geconfigureerd via de opdrachtregelinterface.

Instellingen voor enable-wachtwoorden configureren

Wanneer u een nieuw enable-wachtwoord configureert, wordt dit automatisch versleuteld en opgeslagen in het actieve configuratiebestand. Ongeacht hoe het wachtwoord is ingevoerd, wordt het in het actieve configuratiebestand weergegeven met het trefwoord encrypted en het versleutelde wachtwoord.

Ga als volgt te werk om op uw switch de instellingen voor enable-wachtwoorden te configureren via de opdrachtregelinterface:

Stap 1. Meld u aan bij de switch-console. Zowel de standaardgebruikersnaam als het standaardwachtwoord is cisco. Als u een nieuwe gebruikersnaam of een nieuw wachtwoord heeft geconfigureerd, moet u deze inloggegevens gebruiken.

Stap 2. Activeer vanuit de modus Privileged EXEC van de switch de modus Global Configuration met de volgende opdracht:

CBS350#fig-terminal

Stap 3. Voer het volgende in om een lokaal wachtwoord voor specifieke gebruikerstoegangsniveaus voor uw switch te configureren:

CBS350 (configuratie)#Wachtwoord inschakelen [niveau van voorrechten] [niet-versleuteld wachtwoord | encrypted versleuteld-wachtwoord]

De opties zijn:

• level bevoegdheidsniveau: hier geeft u het niveau op waarvoor het wachtwoord van toepassing is. Het niveau varieert van 1 tot 15. Als er niets wordt opgegeven, wordt het niveau ingesteld op de standaardwaarde van 15. De gebruikersniveaus zijn:

- Alleen-lezen toegang tot opdrachtregelinterface (1): de gebruiker heeft geen toegang tot de GUI en kan in de opdrachtregelinterface alleen opdrachten gebruiken die de apparaatconfiguratie niet wijzigen.

- Lees- en beperkte schrijftoegang tot opdrachtregelinterface (7): de gebruiker heeft geen toegang tot de GUI en kan in de opdrachtregelinterface slechts enkele opdrachten gebruiken die de apparaatconfiguratie wijzigen. Raadpleeg de referentiehandleiding voor de opdrachtregelinterface voor meer informatie:

- Beheertoegang voor lezen/schrijven (15): gebruikers hebben toegang tot de GUI en kunnen het apparaat configureren.

CBS350 (configuratie)#wachtwoordniveau inschakelen 7 Cisco123$

Opmerking: In dit voorbeeld is het wachtwoord Cisco123$ ingesteld voor de gebruikersaccount van niveau 7.

• niet-versleuteld-wachtwoord: het wachtwoord voor de gebruikersnaam die u momenteel gebruikt. De lengte varieert van 0 tot 159 tekens.

CBS350 (configuratie)#wachtwoordniveau inschakelen Cisco123$

Opmerking: In dit voorbeeld wordt het wachtwoord Cisco123$ gebruikt.

• encrypted versleuteld-wachtwoord: hiermee geeft u op dat het wachtwoord is versleuteld. U kunt deze opdracht gebruiken om een wachtwoord in te voeren dat al is versleuteld vanuit een ander configuratiebestand van een ander apparaat. Op deze manier kunt u de twee switches configureren met hetzelfde wachtwoord.

CBS350 (configuratie)#wachtwoordversleuteling inschakelen 6f43205030a2f3a1e243873007370fab

Opmerking: In dit voorbeeld wordt het versleutelde wachtwoord 6f43205030a2f3a1e243873007370fab gebruikt. Dit is de versleutelde versie van Cisco123$.

Opmerking: In het bovenstaande voorbeeld is het enable-wachtwoord Cisco123$ ingesteld voor toegangsniveau 7.

Stap 4. (Optioneel) Voer de volgende opdracht in als u voor het gebruikerswachtwoord het standaardwachtwoord wilt herstellen:

CBS350 (configuratie)#geen wachtwoord inschakelen

Stap 5. Voer de opdracht exit in om terug te keren naar de modus Privileged EXEC van de switch.

CBS350 (configuratie)#exit

Stap 6. (Optioneel) Sla in de modus Privileged EXEC van de switch de geconfigureerde instellingen op in het configuratiebestand voor opstarten. Voer hiervoor de volgende opdracht in:

CBS350#copy in werking stelt -in werking stellen-configuratie opstartconfiguratie

Stap 7. (Optioneel) Gebruik het toetsenbord om Y voor Ja of N voor Nee te kiezen wanneer de prompt ‘Overwrite file [startup-config]…’ wordt getoond voor het overschrijven van het huidige configuratiebestand voor opstarten.

U heeft nu op uw switch de instellingen voor enable-wachtwoorden geconfigureerd via de opdrachtregelinterface.

Service voor wachtwoordherstel configureren

Het mechanisme van de service voor wachtwoordherstel biedt u onder de volgende voorwaarden fysieke toegang tot de consolepoort van het apparaat:

• Als wachtwoordherstel is ingeschakeld, heeft u toegang tot het opstartmenu en kunt u het wachtwoordherstel activeren in het opstartmenu. Alle configuratiebestanden en gebruikersbestanden worden bewaard.
• Als wachtwoordherstel is uitgeschakeld, kunt u wachtwoordherstel niet activeren in het opstartmenu. De configuratiebestanden en gebruikersbestanden worden verwijderd.
• Als een apparaat is geconfigureerd om de gevoelige gegevens te beschermen met een door de gebruiker gedefinieerd wachtwoord voor Secure Sensitive Data (SSD), kunt u wachtwoordherstel zelfs niet via het opstartmenu activeren als wachtwoordherstel is ingeschakeld.

De service voor wachtwoordherstel is standaard ingeschakeld. Ga als volgt te werk om op uw switch de service voor wachtwoordherstel te configureren via de opdrachtregelinterface:

Stap 1. Meld u aan bij de switch-console. Zowel de standaardgebruikersnaam als het standaardwachtwoord is cisco. Als u een nieuwe gebruikersnaam of een nieuw wachtwoord heeft geconfigureerd, moet u deze inloggegevens gebruiken.

Stap 2. Activeer vanuit de modus Privileged EXEC van de switch de modus Global Configuration met de volgende opdracht:

CBS350#fig-terminal

Stap 3. (Optioneel) Voer de volgende opdracht in om de service voor wachtwoordherstel op de switch in te schakelen:

CBS350#service wachtwoordherstel

Stap 4. (Optioneel) Voer de volgende opdracht in om de service voor wachtwoordherstel op de switch uit te schakelen:

CBS350#geen service wachtwoord-herstel

Stap 5. (Optioneel) Gebruik het toetsenbord om Y voor Ja of N voor Nee te kiezen wanneer de onderstaande prompt wordt getoond.

Opmerking: In dit voorbeeld wordt op Y gedrukt.

Stap 6. Voer de opdracht exit in om terug te keren naar de modus Privileged EXEC van de switch.

CBS350 (configuratie)#exit

Stap 7. (Optioneel) Sla in de modus Privileged EXEC van de switch de geconfigureerde instellingen op in het configuratiebestand voor opstarten. Voer hiervoor de volgende opdracht in:

CBS350#copy in werking stelt -in werking stellen-configuratie opstartconfiguratie

Stap 8. (Optioneel) Gebruik het toetsenbord om Y voor Ja of N voor Nee te kiezen wanneer de prompt ‘Overwrite file [startup-config]…’ wordt getoond voor het overschrijven van het huidige configuratiebestand voor opstarten.

U heeft nu op uw switch de service voor wachtwoordherstel geconfigureerd via de opdrachtregelinterface.

Instellingen voor wachtwoordcomplexiteit configureren

De instellingen voor wachtwoordcomplexiteit van de switch ondersteunen complexiteitsregels voor wachtwoorden. Als deze functie is ingeschakeld, moeten voor nieuwe wachtwoorden de volgende standaardregels in acht worden genomen:

• Het wachtwoord moet uit minimaal acht tekens bestaan.
• Het wachtwoord moet tekens bevatten uit minstens vier tekenklassen, zoals hoofdletters, kleine letters, cijfers en speciale tekens, die beschikbaar zijn op een standaardtoetsenbord.
• Het wachtwoord moet afwijken van het huidige wachtwoord.
• Het wachtwoord mag geen teken bevatten dat meer dan drie keer achter elkaar wordt herhaald.
• Het wachtwoord mag niet uit de gebruikersnaam bestaan, ook niet van achteren naar voren geschreven of als variant waarbij hoofdletters in kleine letters zijn gewijzigd of andersom.
• Het wachtwoord mag niet uit de producentnaam bestaan, ook niet van achteren naar voren geschreven of als variant waarbij hoofdletters in kleine letters zijn gewijzigd of andersom.

U kunt de bovenstaande kenmerken voor wachtwoordcomplexiteit gebruiken met specifieke opdrachten. Als u eerder andere complexiteitsinstellingen heeft geconfigureerd, worden die instellingen gebruikt.

Deze functie is standaard ingeschakeld. Ga als volgt te werk om op uw switch de instellingen voor wachtwoordcomplexiteit te configureren via de opdrachtregelinterface:

Stap 1. Meld u aan bij de switch-console. Zowel de standaardgebruikersnaam als het standaardwachtwoord is cisco. Als u een nieuwe gebruikersnaam of een nieuw wachtwoord heeft geconfigureerd, moet u deze inloggegevens gebruiken.

Stap 2. Activeer vanuit de modus Privileged EXEC van de switch de modus Global Configuration met de volgende opdracht:

CBS350#fig-terminal

Stap 3. (Optioneel) Voer de volgende opdracht in om de instellingen voor wachtwoordcomplexiteit op de switch in te schakelen:

CBS350 (configuratie)#wachtwoorden complexiteit inschakelen

Stap 4. (Optioneel) Voer de volgende opdracht in om de instellingen voor wachtwoordcomplexiteit op de switch uit te schakelen:

CBS350 (configuratie)#geen wachtwoorden mogelijk

Stap 5. (Optioneel) Voer de volgende opdracht in om de minimumvereisten voor een wachtwoord te configureren:

CBS350 (config)#wachtwoorden complexiteit [min-length number] [min-class number] [not-current] [no-herhaald number] [not-username] [not-fabrikant-name]

De opties zijn:

• min-length getal: hiermee stelt u de minimumlengte van het wachtwoord in. Het wachtwoord moet uit 0 tot 64 tekens bestaan. De standaardwaarde is 8.
• min-classes getal: hiermee stelt u het minimum aantal tekenklassen in, zoals hoofdletters, kleine letters, cijfers en speciale tekens, die beschikbaar zijn op een standaardtoetsenbord. Het aantal klassen kan variëren van 0 tot 4 klassen. De standaardwaarde is 3.
• not-current: hiermee geeft u op dat het nieuwe wachtwoord niet gelijk mag zijn aan het huidige wachtwoord.
• no-repeat getal: hiermee bepaalt u het maximumaantal tekens in het nieuwe wachtwoord dat achtereenvolgens kan worden herhaald. Met nul geeft u op dat er geen limiet geldt voor het aantal herhaalde tekens. U kunt een waarde van 0 tot 16 tekens instellen. De standaardwaarde is 3.
• not-username: hiermee geeft u op dat het wachtwoord niet uit de gebruikersnaam mag bestaan, ook niet van achteren naar voren geschreven of als variant waarbij hoofdletters in kleine letters zijn gewijzigd of andersom.
• not manufacturer-name: hiermee geeft u op dat het wachtwoord niet uit de producentnaam mag bestaan, ook niet van achteren naar voren geschreven of als variant waarbij hoofdletters in kleine letters zijn gewijzigd of andersom.

Opmerking: Met deze opdrachten worden de overige instellingen niet gewist. Het configureren van de instellingen voor wachtwoordcomplexiteit werkt alleen als schakeloptie.

Opmerking: In dit voorbeeld is de wachtwoordcomplexiteit ingesteld op minstens negen tekens, mag de gebruikersnaam niet worden gebruikt of omgedraaid en mag het wachtwoord niet overeenkomen met het huidige wachtwoord.

Stap 6. Voer de opdracht exit in om terug te keren naar de modus Privileged EXEC van de switch.

CBS350 (configuratie)#exit

Stap 7. (Optioneel) Sla in de modus Privileged EXEC van de switch de geconfigureerde instellingen op in het configuratiebestand voor opstarten. Voer hiervoor de volgende opdracht in:

CBS350#copy in werking stelt -in werking stellen-configuratie opstartconfiguratie

Stap 8. (Optioneel) Gebruik het toetsenbord om Y voor Ja of N voor Nee te kiezen wanneer de prompt ‘Overwrite file [startup-config]…’ wordt getoond voor het overschrijven van het huidige configuratiebestand voor opstarten.

U heeft nu op uw switch de instellingen voor wachtwoordcomplexiteit geconfigureerd via de opdrachtregelinterface.

Als u de configuratie-instellingen voor wachtwoorden in de opdrachtregelinterface van uw switch wilt weergeven, gaat u verder met Configuratie-instellingen voor wachtwoorden weergeven.

Instellingen voor wachtwoordveroudering configureren

Veroudering is alleen relevant voor gebruikers van de lokale database met bevoegdheidsniveau 15 en voor geconfigureerde enable-wachtwoorden van bevoegdheidsniveau 15. De standaardconfiguratie is 180 dagen.

Ga als volgt te werk om op uw switch de instellingen voor wachtwoordcomplexiteit te configureren via de opdrachtregelinterface:

Stap 1. Meld u aan bij de switch-console. Zowel de standaardgebruikersnaam als het standaardwachtwoord is cisco. Als u een nieuwe gebruikersnaam of een nieuw wachtwoord heeft geconfigureerd, moet u deze inloggegevens gebruiken.

Stap 2. Activeer vanuit de modus Privileged EXEC van de switch de modus Global Configuration met de volgende opdracht:

CBS350#fig-terminal

Stap 3. Voer de volgende opdracht in om de instelling voor wachtwoordveroudering voor de switch in te stellen:

CBS350 (configuratie)#wachtwoorden veroudering [dagen]

• dagen: hier geeft u op na hoeveel dagen een wachtwoordwijziging wordt afgedwongen. Stel 0 in om veroudering uit te schakelen. U kunt een waarde van 0 tot 365 instellen.

Opmerking: In dit voorbeeld is de wachtwoordveroudering ingesteld op 60 dagen.

Stap 4. (Optioneel) Voer de volgende opdracht in om wachtwoordveroudering op de switch uit te schakelen:

CBS350 (configuratie)#geen wachtwoorden verouderd 0

Stap 5. (Optioneel) Voer de volgende opdracht in om de standaardinstelling voor wachtwoordveroudering te herstellen:

CBS350 (configuratie)#geen wachtwoorden verouderd [dagen]

Stap 6. Voer de opdracht exit in om terug te keren naar de modus Privileged EXEC van de switch.

CBS350 (configuratie)#exit

Stap 7. (Optioneel) Sla in de modus Privileged EXEC van de switch de geconfigureerde instellingen op in het configuratiebestand voor opstarten. Voer hiervoor de volgende opdracht in:

CBS350#copy in werking stelt -in werking stellen-configuratie opstartconfiguratie

Stap 8. (Optioneel) Gebruik het toetsenbord om Y voor Ja of N voor Nee te kiezen wanneer de prompt ‘Overwrite file [startup-config]…’ wordt getoond voor het overschrijven van het huidige configuratiebestand voor opstarten.

U heeft nu op uw switch de instellingen voor wachtwoordveroudering geconfigureerd via de opdrachtregelinterface.

Als u de configuratie-instellingen voor wachtwoorden in de opdrachtregelinterface van uw switch wilt weergeven, gaat u verder met Configuratie-instellingen voor wachtwoorden weergeven.

Configuratie-instellingen voor wachtwoorden weergeven

Veroudering is alleen relevant voor gebruikers van de lokale database met bevoegdheidsniveau 15 en voor geconfigureerde enable-wachtwoorden van bevoegdheidsniveau 15. De standaardconfiguratie is 180 dagen.

Stap 1. Voer in de modus Privileged EXEC van de switch de volgende opdracht in:

CBS350 (configuratie)#wachtwoordconfiguratie weergeven