ARGOMENTO:

Buonasera,
svolgendo il PT del capitolo 11 "skill integration challenge" mi sono imbattuto in questo errore che mi è costato ben 10 punti durante il primo esame pratico di PT, e ancora di dev'essere qualcosa che non mi è chiaro.
la traccia chiede:" Configure remote management access including IP addressing and SSH:
- Domain is cisco.com
- User admin with password letmein (resettando l'attività i valori possono cambiare)
- Crypto key length of 1024
- SSH version 2, limited to 2 authentication attempts and a 60 second timeout
- Clear text passwords should be encrypted."

ora i comandi che ho inserito io sono:

ip domain-name cisco.com
username admin (privilege 15) secret letmein
crypto key generate rsa 1024
ip ssh version 2
ip ssh authentication-retries 2
ip ssh time-out 60
e ovviamente ho impostato dentro line vty 0 15 il comando login local
ho provato a inserire, sia username admin secret letmein (senza privilege);
username admin password letmein (che però è meno sicura);
in ogni caso il punteggio era sempre 69/70 e l'errore era sempre imputato all'inserimento dell'username.

Per verificare che fosse un problema dell'esercizio settato male (magari), ho rieseguito l'esame del capitolo 2 e anche lì oltre a un errore di configurazione di port security fatto per distrazione, c'è sempre segnalato un errore relativo al settaggio dell'username (inserito con "username <username> privilege 15 secret <password>", ma niente di specifico per capire dove sto sbagliando....so che magari non è importantissimo, ma 10 punti per una cosa così banale sinceramente mi infastidiscono parecchio...quindi, qual è il comando corretto per impostare un username locale e utilizzarlo per l'accesso in SSH???

p.s. in questo momento sono su un altro pc e non riesco ad allegare l'esercizio, se vi serve fatemi sapere.

Ciao Matteo, senza avere lo scenario allegato, non posso avere la certezza, ma temo si tratti di un errore dell'activity. Gli scenari di questi pka sono randomici, quindi il testo e le variabili possono cambiare di volta in volta.
Mi hai tradotto il testo in italiano, ma dal testo in inglese che è capitato a me (in più di un'occasione, visto che ho fatto il reset diverse volte), direi che non dovevi usare secret, ma password. Almeno nel mio testo non specificava di usare l'encryption (hai ragione che è meno sicuro, ma se l'esercizio non te lo chiede, probabile che valuti positivamente la parola chiave password e non secret).
Di sicuro credo ci sia un errore nel livello di privilegi dello user. Prova a mettere level 1, anziché level 15 (un errore di digitazione da parte di chi ha sviluppato l'activity).
In pratica: user admin privilege 1 password letmein.

Prova e vedi se ti dà 70/70

Che io ricordi i livelli di privilegio non ci vennero spiegati quando si studio a suo tempo la creazione degli utenti e il login local, fu detto che i privilegi erano una cosa molto articolata e che non sarebbe stata necessaria a fare le esercitazioni, lo ricordo bene perche' ci fu qualcuno che fece una domanda proprio sui privilegi e gli fu risposto come ho scritto.
Visto e considerato che a quanto pare degli esercizi invece pare che sia importante sapere cosa implica sto parametro impostabile di nome privilege nella creazone delgi utenti, qualcuno puo' vuole cortesemente spiegarmelo?
Se qualcuno invece ricorda che non e' vero cio' che ricordo io ne sarei felice se me lo dicesse.

Confermo che i livelli di privilegio non sono oggetto della certificazione CCNA R&S, vengono trattati nella CCNA Security. Il fatto che ci sia un errore nell'activity non vuol dire che dobbiamo inserire l'argomento nella CCNA R&S. Se ti interessa approfondire l'argomento puoi trovare più informazioni qui
www.cisco.com/c/en/us/td/docs/ios/12_2/s...fpass.html#wp1001038

Questo è il livello base dei privilegi, quando si passa a implementazioni avanzate di AAA non basta neanche la CCNA Security nella quale la cosa viene trattata in maniera abbastanza blanda a scopo di overview.

Mi sembra normale che non vi sia stato spiegato, infatti non è argomento che riguardi la CCNA. Nel mio post avevo indicato tra parentesi che poteva essere un errore di digitazione di chi aveva fatto l'activity. Intendevo dire che ha impostato il valore 1 anziché 15. Forse non mi ero espresso chiaramente, ma non intendevo dire che siete tenuti a sapere la differenza fra i vari livelli di privilegio. Negli esercizi il valore richiesto è sempre 15, che significa il massimo livello di privilegio (la modalità privilegiata, per capirci, quella da admin). Il livello 1 è il minimo livello di privilegio (la modalità utente), i livelli 2-14 sono configurabili a piacimento per creare profili personalizzati. Mentre i livelli 1 e 15 sono già impostati, i livelli 2-14 sono da "creare" secondo le specifiche necessità.
Credo che questo possa chiarirne il significato in linea generale. Per i dettagli, basta cercare su google...

ops, scusa Virgilio... Siamo andati in overlapping...

Chiaramente visto la conoscenza dei percorsi avanzati di Virgilio, prendete per "preferenziale" la sua risposta (ha un AD migliore della mia) . Io ho utilizzato i livelli di privilegio sul campo, la mia conoscenza nasce dalle ricerche su google che vi ho suggerito nel post...

Virgilio, nelle esercitazioni mi e' capitato di imbattermi in cose che sapevo che non erano state spigate e me ne ero fatto una ragione, anche durante gli esami in alcuni casi c'erano domande che non erano state spiegate e no ho mai sollevato questioni, qui la questione era stata sollevata e qualcuno la ha risolta dando una indicazione chiara ed esplicita, considera che io che conosco come pensa Carrara quando ho visto che non ha sollevato il problema della "competenza" di ccna a trattare quelle questoni mi sono interrogato perche' Carrara se una cosa e' appena fuori dal curriclum lo dice in maniera esplicita, per questo io mi sono permesso di chiedere chiarimenti, immagino quali articolazioni possano esistere dietro i livelli di privilegio e come sia ben strutturato il database delle autorizzazioni e non mi sogno nemeno di andare ad approfondire, non miintressa no questi aspetti mi interessa altro, adesso so che non e cosa nstra e snn ho problemi.
Grazie di esserti ricordato.

Figurati, la mia non era una risposta polemica, volevo solo tranquillizzarvi

vspaziani ha scritto: Confermo che i livelli di privilegio non sono oggetto della certificazione CCNA R&S, vengono trattati nella CCNA Security. Il fatto che ci sia un errore nell'activity non vuol dire che dobbiamo inserire l'argomento nella CCNA R&S. Se ti interessa approfondire l'argomento puoi trovare più informazioni qui
www.cisco.com/c/en/us/td/docs/ios/12_2/s...fpass.html#wp1001038

Questo è il livello base dei privilegi, quando si passa a implementazioni avanzate di AAA non basta neanche la CCNA Security nella quale la cosa viene trattata in maniera abbastanza blanda a scopo di overview.

Chiedo scusa se ho sbagliato a inserire il topic nel forum, ma la mia domanda riguardava un chiarimento generale del comando, quindi pensavo andasse inserito in generale, comunque ora aggiungerò le tracce dell'esame, quindi forse andrà spostato nel forum privato di classe.

mcarrara ha scritto: Ciao Matteo, senza avere lo scenario allegato, non posso avere la certezza, ma temo si tratti di un errore dell'activity. Gli scenari di questi pka sono randomici, quindi il testo e le variabili possono cambiare di volta in volta.
Mi hai tradotto il testo in italiano, ma dal testo in inglese che è capitato a me (in più di un'occasione, visto che ho fatto il reset diverse volte), direi che non dovevi usare secret, ma password. Almeno nel mio testo non specificava di usare l'encryption (hai ragione che è meno sicuro, ma se l'esercizio non te lo chiede, probabile che valuti positivamente la parola chiave password e non secret).
Di sicuro credo ci sia un errore nel livello di privilegi dello user. Prova a mettere level 1, anziché level 15 (un errore di digitazione da parte di chi ha sviluppato l'activity).
In pratica: user admin privilege 1 password letmein.

Prova e vedi se ti dà 70/70

Non so come mai ti visualizzi la traccia in italiano, io l'ho copiata direttamente dall'activity, comunque, questi sono i due scenari che ho provato: 1-

2-
(in questo scenario ho inserito una password per accedere all'exec, dovrebbe essere cisco o ccna).

In ogni caso inizialmente ho provato con il comando password e non secret ma non andava comunque, e quello che ha scatenato il mio dubbio è stato ripetere l'esame PT del capitolo 2 dove chiede esplicitamente richiesto di inserire una password "encrypted" (Create a user admin with an encrypted password of ccna.) e il comando "username admin secret ccna" o "username admin privilege 15 secret ccna" risultano entrambi errati (ho provato l'esame un sacco di volte ^^").
Per completezza allego anche la traccia dell'esame PT del capitolo 2 e la running config dello switch:

Traccia -


Configurazione Switch -


Risultato dell'item Feedback (ometto il resto tanto è tutto corretto):

Performance Component: SSH Access for Remote Configuration
Description:
Maximum Points = 30
Earned Points = 20
Work Product Feature Student Result Earned Points Max Points
SSH Access for Remote Configuration 20 30
Configure SSH 20 20
Network:SW1Name:Security:Modulus Bits Correct
Network:SW1Name:SSH Server:SSH Server Version Correct
Network:SW1Name:VTY Lines:0:Transport Input Correct
Configure Account-based Access 0 10
Network:SW1Name:VTY Lines:0:Login Correct
Network:SW1Name:User Names:Username Incorrect


P.S. il mio dubbio riguarda solo la creazione dell'username locale e la sua implementazione nel'uso della connessione tramite ssh, il comando privilege in effetti ci era stato suggerito durante l'esame pratico a Milano perché come dicevo il dubbio inizialmente è nato durante la prova pratica finale del modulo 1.

Allora, ho fatto un po' di verifiche...
Ho aperto l'activity (noi istruttori possiamo farlo) e l'istruzione relativa alla creazione dello username che è stata inserita nello scenario di risposta è:
username admin privilege 1 password 7 0822455D0A16
Contrariamente a quanto ho scritto prima, non c'è stato errore di digitazione (privilege 1 invece di privilege 15). In questa versione P.T., contrariamente a quelle che ricordavo, viene aggiunto automaticamente il livello di privilegio 1 se non si esplicita il 15.
Tornando al comando, scrivendo username admin password cisco si ottiene la stessa stringa dello scenario di risposta (in pratica niente a che vedere con le istruzioni). Ciononostante anche inserendo il comando che genera lo stesso output trovato nello scenario di risposta, non si arriva a 70/70, bensì si rimane a 69/70.
Quindi, come vi avevo già indicato in altro post, alcuni scenari presentano errori di progettazione e non restituiscono il massimo. Tenete conto che ho provato tutte le possibili coppie username/password dello scenario (sono 3 coppie che vengono scelte randomicamente) il risultato non cambia. Ciò che rende l'errore palese è che nello scenario di risposta non compare nessuna delle coppie possibili. Per essere ancora più chiaro, in questa activity gli username possono essere HQadmin, Admin o CAdmin e le password possono essere rispettivamente ciscoclass, letmein e itsasecret. Nonostante questo l'autore dell'activity ha usato admin (minuscolo) con password cisco.
Nel vostro interesse, quindi, ma anche in quello di noi istruttori, considerando quando tempo richieda una indagine di questo tipo , non cercherei la soluzione a tutti i costi, quando potrebbe non esistere....
Anticipo subito una perplessità che potrebbe emergere. Questi errori non vengono corretti, perché, seppure segnalati, hanno priorità inferiore rispetto ad altri. Eventuali errori sugli esami finali col Packet Tracer, invece, vengono affrontati e risolti (perché con priorità maggiore). Quindi non preoccupatevi troppo, l'importante è avere capito bene la comandistica!

Grazie Marco, ti chiedo solo un'ultima cosa....
ho capito che l'errore in questo caso è dell'esercizio,quindi la sintassi giusta è :

"username <name> privilege 1 (<-- non obbligatorio?) password (quando non viene richiesta una password sicura) secret (per la password "encrypted") <password>.

Però ancora non mi spiego l'errore segnalato in esame nel PT del capitolo 2, capisco che negli esercizi del curriculum ci possano essere degli errori e non sono nemmeno tanto gravi, però negli esami un errore come quello ti costa ben 5 punti su cento, poi, se mi dici che nell'esame pratico di fine modulo 2 un errore come quello è ininfluente lascio perdere, però nell'esame di fine modulo 1 contava addiritura un 10% del punteggio finale, e ribasisco, alla richiesta "Create a user admin with an encrypted password of ccna" i comandi "username admin secret ccna o username admin priv 15 secret ccna" risultano entrambi errati, anche se in teoria sono corretti.

Matteo, se ti riferisci a queste frasi:
- User Admin with password letmein
- Crypto key length of 1024
- Clear text passwords should be encrypted."

qui non c'è scritto di utilizzare password cifrata, c'è scritto di creare un utente ed una chiave di cifratura ssh di lunghezza 1024 e di usare il comando "service password-encryption". E' una questione di parole, ma se dico che le password in chiaro devono essere criptate, sto dicendo che le password dovrebbero essere date in chiaro...e poi criptate

no no, io non mi riferisco più all'esercizio del capitolo 11, dove abbiamo appurato che c'è un errore nel determinare se il comando è giusto o meno, ma al esame PT del capitolo 2, ho allegato la traccia nella risposta precendete comunque:

"Configure SSH to secure remote access with the following settings:
A domain name of cisco.com.
RSA key-pair parameters to support SSH version 2. Use a modulus of 1024.
Set SSH to version 2.
Create a user admin with an encrypted password of ccna.
Configure vty lines to only accept SSH connections.
Require the user created above to supply the user name and password in order to login over SSH."
poi prima o dopo nella traccia viene chiesto di crittografare le password in chiaro (Encrypt all plain text passwords.).

Grazie Marco, ti chiedo solo un'ultima cosa....
ho capito che l'errore in questo caso è dell'esercizio,quindi la sintassi giusta è :

"username <name> privilege 1 (<-- non obbligatorio?) password (quando non viene richiesta una password sicura) secret (per la password "encrypted") <password>.

Esatto. Tieni conto però che la maggior parte delle volte l'utente viene creato con il massimo dei privilegi (15). Nella vita reale per intenderci, si crea l'utenza da amministratore per accedere al dispositivo col massimo dei privilegi. In questo caso, seguendo una logica didattica, non è necessario aggiungere il parametro privilege (perché non esplicitamente richiesto dalle istruzioni). Lo trovi nella show run, perché aggiunto dal P.T., ma era corretto non inserirlo nel comando.

Però ancora non mi spiego l'errore segnalato in esame nel PT del capitolo 2

Matteo, su questo non posso aiutarti, perché non sono abilitato a vedere la vostra classe. Tieni conto però che i 5 punti in più o in meno non sono affatto significativi, se non per la soddisfazione personale dello studente che vuol capire l'errore (cosa che noi istruttori comprendiamo perfettamente). Ti invito però a riflettere su quanto diventerebbe pericoloso per noi istruttori venire incontro a questo tipo di richieste. Siete in venti, per dimostrarti perché hai preso 95 e non 100, l'istruttore dovrebbe vedere riga per riga cosa hai scritto nel tuo esame (la piattaforma di esami ufficiali registra ogni digitazione). Siete ragazzi intelligenti, capireste che farlo per uno significherebbe doverlo fare per tutti. Sarebbe un massacro. Pertanto questo meccanismo viene utilizzato solo per reclami ufficiali qualora lo studente non superasse il corso per pochi punti. In quel caso però ti assicuro che gli istruttori che tengono ai propri studenti, non avrebbero bisogno di alcuna sollecitazione da parte vostra... Lo farebbero autonomamente. In ultima analisi considera che nei certificati finali del Cisco Networking Academy, così come nelle certificazioni industriali, il voto finale di superamento non compare, in quanto si certificano le competenze...