我在用用户名密码将具有加密密码的用户添加到我们的交换机和防火墙。
我已经与相同的交换机和防火墙斗争了几个小时,试图为所有管理员生成安全的硬密码。有时,密码可以进入配置,但无法用于登录。
根据文档启用秘密密码不能以数字开头,并且?必须以数字形式输入才能Ctrl-V退出?。
我按照这个方法操作,但有时仍然无法使用密码。当我运行用户名,但有些交换机(并非所有交换机)在登录时会拒绝输入密码。它们都是WS-C2960-48PST-L。它不喜欢的密码包含反引号“`”(Esc 键下波浪符号 ~ 下面的字符)。
“行为不当”的开关正在运行:
Cisco IOS 软件,C2960 软件 (C2960-LANBASEK9-M),版本 12.2(50)SE5,发布软件 (fc1)
“工作”开关正在运行:
Cisco IOS 软件,C2960 软件 (C2960-LANBASEK9-M),版本 12.2(46)SE,发布软件 (fc2)。
“行为不当”的交换机运行的是较新的 IOS,因此这表明在某处引入了回归12.2(46)SE和12.2(50)SE5。我无法找到任何证据表明这是故意的12.2(50)SE 发行说明。
我希望下次更改密码时能避免这种情况:)
Cisco IOS 用户名密码中哪些字符是非法的?
感谢您的帮助 :)
答案1
每种类型的密码都区分大小写,可以包含 1 到 25 个大写和小写字母数字字符,并且可以以数字开头。空格也是有效的密码字符;例如,“两个单词”就是有效的密码。前导空格会被忽略,但尾随空格会被识别。
取自:http://www.cisco.com/en/US/docs/ios/preface/usingios.html
根据文档,创建密码的限制并不多。是否会show login为失败的登录尝试创建日志?用户是否可能输入错误的密码?
答案2
我在之前的雇主那里也遇到过类似的问题。
我没有继续与这个问题作斗争,而是选择使用严格的字母数字密码。使用严格的字母数字密码确实会损失密码中的一些信息量,但这很容易通过在密码中添加额外的两到三个字符来弥补。
根据您的政策,这可能不可行,但我发现对于您无法信任特殊字符的硬件,这是最干净的解决方案。我们实际上为这些设备制定了一个专用条款,该条款基于保持最低熵值,而不是标准的 1 个字母/1 个数字/1 个符号。