Quando criamos uma VPN remote access, onde os usuários usam um cliente para realizar o acesso remoto, o mais comum é que cada usuário tenha suas credenciais (usuário e senha/token/certificado).
Mas eventualmente é necessário o uso de credenciais compartilhadas. Ou seja, pessoas diferentes realizam o acesso utilizando o mesmo usuário e senha, simultaneamente.
Por padrão o ASA permite que até 3 conexões VPN sejam estabelecidas com o mesmo usuário. Mas podemos aumentar (ou diminuir) este número de acordo com a necessidade.
Com a configuração default, caso um quarto usuário tente se logar na VPN usando o username vpnuser1, um dos usuários será desconectado.
Para mudar este parâmetro, basta usar o comando vpn-simultaneous-logins, dentro do group-policy em uso.
Aumentando o número de logins simultâneos na VPN, com o mesmo usuário:
group-policy BRAIN attributes
vpn-simultaneous-logins 5
Mais informação sobre este comando aqui.
Até a próxima.
O básico para autenticação do acesso remoto a um roteador é a senha de enable, e a senha especificada para o método de acesso (console, auxiliar, Telnet, SSH,…). Assim normalmente é configurado o seguinte:
Exemplo: configuração sem a verificação de usuário para acesso Telnet:
! Entre no modo de configuração global
BrainRT01#conf t
! Crie a senha de enable
BrainRT01(config)#enable secret cisco
! Entre na line (onde é configurado o acesso Telnet)
BrainRT01(config)#line vty 0 4
! Cadastre a senha que será usada para telnet
BrainRT01(config-line)#password 123cisco
BrainRT01(config-line)#end
BrainRT01#
No entanto, com a configuração acima o usuário seria indagado apenas sobre a senha de acesso (que foi configurada na line) e a senha de enable, que é utilizada para entrar no modo de configuração privilegiado. Observe que o roteador não perguntou o nome do usuário para o acesso.
Para configurar o equipamento para pedir o usuário e senha, além do enable, precisamos primeiro criar no roteador um usuário (neste exemplo será configurada autenticação local). Depois basta ativar o AAA (authentication, authorization e accounting), e especificar o método de autenticação. Com estas configurações o roteador passará a solicitar usuário a quem estiver realizando o acesso.
Exemplo: Configurando usuário e senha para o roteador
! Entre no modo de configuração global
BrainRT01#conf t
! Crie um usuário e sua respectiva senha (neste exemplo o usário tem privilégio total – 15)
BrainRT01(config)#username brainwork privilege 15 password cisco123
! Habilite o aaa
BrainRT01(config)#aaa new-model
! Especifique que para o login deve ser usada a base de autenticação local
BrainRT01(config)#aaa authentication login default local
BrainRT01(config)#end
BrainRT01#
Com esta configuração o equipamento passará a pedir usuário e senha, quando o acesso remoto for realizado e ter um usuário e senha para cada usuário que acessa o equipamento.
Com a diferenciação entre os usuários podemos ter níveis de acesso diferenciado (authorization) e monitorar quem logou no equipamento, quando e o que fez (accounting). E além da base de usuário local, também podemos usar um servidor externo Radius ou TACACS para o AAA.
Até a próxima.
Seja o primeiro a comentar 
