配置AAA命令之授權相關命令

來源:本站原創 網絡技術詳解 超過1,380 views圍觀 0條評論

aaa authorization commands

對于已登錄到NAS的CLI界面上的用戶,要使用要AAA命令授權功能對用戶執行的命令進行授權,允許或禁止某個用戶執行具體的命令。請執行全局配置命令aaa authorization commands。該命令的no形式關閉AAA命令授權功能。

aaa authorization commands level {default | list-name} method1 [method2…]

no aaa authorization commands level {default | list-name}

參數說明

參數

描述

level

要進行授權的命令級別,范圍0~15,決定哪個級別的命令需要授權通過后才能執行。

default

使用該參數,則后面定義的方法列表作為命令授權的默認方法

list-name

定義一個命令授權的方法列表,可以是任何字符串。

method

必須是“none、group”所列關鍵字之一,一個方法列表最多有4個方法

none

不進行授權

group

使用服務器組進行授權,目前支持TACACS+服務器組

缺省配置

 

關閉AAA命令授權功能。

命令模式

 

全局配置模式。

使用指導

 

RGOS支持對用戶可執行的命令進行授權,當用戶輸入并試圖執行某條命令時,AAA將該命令發送到安全服務器上,如果安全服務器允許執行該命令,則該命令被執行,否則該命令不執行,并會給出執行命令被拒絕的提示。

配置命令授權的時候需要指定命令的級別,這個級別是命令的默認級別(例如,某命令對于14級以上用戶可見,則該命令的默認級別就是14級的)。

配置了命令授權方法后,必須將其應用在需要進行命令授權的終端線路上,否則將不生效。

配置舉例

 

下面的示例使用TACACS+服務器對15級命令進行授權:

Ruijie(config)# aaa authorization commands 15 default group tacacs+

相關命令

命令

描述

aaa new-model

使能AAA安全服務

authorization commands

在終端線路上應用命令授權

平臺說明

 

命令歷史

版本號

說明

1.2.2 aaa authorization config-commands

要使用AAA對配置模式(包括全局配置模式及其子模式)下的命令進行授權,執行全局配置命令aaa authorization config-commands。該命令的no形式關閉AAA對配置模式下的命令的授權功能。

aaa authorization config-commands

no aaa authorization config-commands

參數說明

參數

描述

缺省配置

 

默認不對配置模式下命令的進行授權。

命令模式

 

全局配置模式。

使用指導

 

如果只對非配置模式(如特權模式)下的命令進行授權,可以使用該命令的no模式關閉配置模式的授權功能,則配置模式及其子模式下的命令不需要進行命令授權就可以執行。

配置舉例

 

下面的示例打開對配置模式下命令的授權功能:

Ruijie(config)# aaa authorization config-commands

相關命令

命令

描述

aaa new-model

使能AAA安全服務

aaa authorization commands

定義AAA命令授權

平臺說明

 

命令歷史

版本號

說明

1.2.3 aaa authorization console

要使用AAA對通過控制臺登錄的用戶,所執行的命令進行授權,執行全局配置命令aaa authorization console。該命令的no形式關閉AAA對對通過控制臺登錄的用戶所執行命令的授權功能。

aaa authorization console

no aaa authorization console

參數說明

參數

描述

缺省配置

 

默認不對控制臺用戶執行的命令進行授權。

命令模式

 

全局配置模式。

使用指導

 

RGOS支持區分通過控制臺登錄和其他終端登錄的用戶,可以設置控制臺登錄的用戶,是否需要進行命令授權。如果關閉了控制臺的命令授權功能,則已經應用到控制臺線路的命令授權方法列表將不生效。

配置舉例

 

下面的示例配置控制臺登錄用戶的命令授權功能:

Ruijie(config)# aaa authorization console

相關命令

命令

描述

aaa new-model

使能AAA安全服務

aaa authorization commands

定義AAA命令授權

authorization commands

在終端線路上應用命令授權

平臺說明

 

命令歷史

版本號

說明

1.2.4 aaa authorization exec

要使用AAA對登錄到NAS的CLI界面的用戶進行Exec授權,賦予其權限級別,執行全局配置命令aaa authorization exec。該命令的no形式關閉AAA Exec的授權功能。

aaa authorization exec {default | list-name} method1 [method2…]

no aaa authorization exec {default | list-name}

參數說明

參數

描述

default

使用該參數,則后面定義的方法列表作為Exec授權的默認方法。

list-name

定義一個Exec授權的方法列表,可以是任何字符串。

method

必須是“local、none、group”所列關鍵字之一,一個方法列表最多有4個方法

local

使用本地用戶名數據庫進行授權

none

不進行授權

group

使用服務器組進行授權,目前支持RADIUS和TACACS+服務器組

缺省配置

 

關閉AAA Exec授權功能。

命令模式

 

全局配置模式。

使用指導

 

RGOS支持對登錄到NAS的CLI界面的用戶進行授權,賦予其CLI權限級別(0~15級)。目前是對于通過了Login認證的用戶,才進行Exec授權。如果Exec授權失敗,則無法進入CLI界面。

配置了Exec授權方法后,必須將其應用在需要進行Exec授權的終端線路上,否則將不生效。

配置舉例

 

下面的示例使用RADIUS服務器進行Exec授權:

Ruijie(config)# aaa authorization exec default group radius

相關命令

命令

描述

aaa new-model

使能AAA安全服務

authorization exec

在終端線路上應用授權

username

定義本地用戶數據庫

平臺說明

 

命令歷史

版本號

說明

1.2.5 aaa authorization network

要使用AAA對訪問網絡用戶的服務請求(包括PPP、SLIP等協議)進行授權,執行全局配置命令aaa authorization network。該命令的no形式關閉AAA的授權功能。

aaa authorization network {default | list-name} method1 [method2…]

no aaa authorization network {default | list-name}

參數說明

參數

描述

default

:使用該參數,則后面定義的方法列表作為Network授權的默認方法。

method

必須是“none、group”所列關鍵字之一,一個方法列表最多有4個方法

none

不進行網絡授權

group

使用服務器組進行授權,目前支持RADIUS和TACACS+服務器組

缺省配置

 

關閉AAA Network授權功能。

命令模式

 

全局配置模式。

使用指導

 

RGOS支持對所有網絡有關的服務請求如PPP、SLIP等協議進行授權。如果配置了授權,則對所有的認證用戶或接口自動進行授權。

可以指定三種不同的授權方法,與身份認證一樣,只有當前的授權方法沒有響應,才能繼續使用后面的方法進行授權,如果當前授權方法失敗,則不再使用其他后繼的授權方法。

RADIUS或TACACS+服務器是通過返回一系列的屬性對來完成對認證用戶的授權。所以網絡授權是建立在認證的基礎上的,只有認證通過了才有可能獲取網絡授權。

配置舉例

 

下面的示例使用RADIUS服務器對網絡服務進行授權:

Ruijie(config)# aaa authorization network default group radius

相關命令

命令

描述

aaa new-model

使能AAA安全服務

aaa accounting

定義AAA記帳

aaa authentication

定義AAA身份認證

username

定義本地用戶數據庫

平臺說明

 

命令歷史

版本號

說明

1.2.6 authorization commands

要將命令授權列表應用在指定終端線路上,執行線路配置模式命令 authorization commands。該命令的no形式取消線路上命令授權功能。

authorization commands level {default | list-name}

no authorization commands level

參數說明

參數

描述

level

要進行授權的命令級別,范圍0~15,決定哪個級別的命令需要授權通過后才能執行。

default

使用該參數,應用命令授權的默認方法。

list-name

應用一個已定義的命令授權的方法列表。

缺省配置

 

未配置AAA命令授權功能。

命令模式

 

線路配置模式。

使用指導

 

默認的命令授權方法列表一旦配置,將自動應用到所有終端上。在線路上應用非默認命令授權方法列表,將取代默認的方法列表。如果試圖應用未定義的方法列表,則會給出一個警告提示信息,該線路上的命令授權將不會生效,直至定義了該命令授權方法列表才會生效。

配置舉例

 

下面的示例配置一個名為cmd的命令授權列表,針對15級命令進行授權,使用TACACS+作為安全服務器,如果服務器沒有響應將采用none方法。配置后應用到VTY 0 – 4線路上:

Ruijie(config)# aaa authorization commands 15 cmd group tacacs+ none

Ruijie(config)# line vty 0 4

Ruijie(config-line)# authorization commands 15 cmd

相關命令

命令

描述

aaa new-model

使能AAA安全服務

aaa authorization commands

定義AAA命令授權方法列表

平臺說明

 

命令歷史

版本號

說明

1.2.7 authorization exec

要將Exec授權列表應用在指定終端線路上,執行線路配置模式命令 authorization exec。該命令的no形式取消線路上Exec授權功能。

authorization exec {default | list-name}

no authorization exec

參數說明

參數

描述

default

使用該參數,應用Exec授權的默認方法。

list-name

應用一個已定義的Exec授權的方法列表。

缺省配置

 

未配置AAA Exec授權功能。

命令模式

 

線路配置模式。

使用指導

 

默認的Exec授權方法列表一旦配置,將自動應用到所有終端上。在線路上應用非默認Exec授權方法列表,將取代默認的方法列表。如果試圖應用未定義的方法列表,則會給出一個警告提示信息,該線路上的Exec授權將不會生效,直至定義了該Exec授權方法列表才會生效。

配置舉例

 

下面的示例配置一個名為exec-1的Exec授權列表,使用RADIUS作為安全服務器,如果服務器沒有響應將采用none方法。配置后應用到VTY 0 – 4線路上:

Ruijie(config)# aaa authorization exec exec-1 group radius none

Ruijie(config)# line vty 0 4

Ruijie(config-line)# authorization exec exec-1

相關命令

命令

描述

aaa new-model

使能AAA安全服務

aaa authorization commands

定義AAA Exec授權方法列表

平臺說明

 

命令歷史

版本號

說明

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=3011轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
?
?
萌宠夺宝游戏