【RSR】RSR如何AAA命令授权

发布时间: 2013-09-11 点击量:858 打印 字体:

功能介绍:

AAA提供授权功能,可以对登陆设备的用户授权特定的配置命令。比如对登陆设备的用户,只授权show、ping等测试命令,不授权用户修改配置的命令。

应用场景:

企业对路由器的安全性要求较高,不同的用户登陆设备,采用不同的用户名及密码进行验证,并且不同的用户授权不同的配置命令,可以采用AAA对登陆的用户进行验证及配置命令授权。

一、组网需求

telnet登陆设备,采用aaa认证,只给用户授权show、ping 的命令,不能修改设备的配置。

二、组网拓扑

 

三、配置要点

1、配置基础路由、aaa登陆认证

2、配置登陆用户的shell等级授权

3、配置命令授权列表

4、tacacs服务器的配置

 

四、配置步骤

1、配置基础路由、aaa登陆认证

配置参考 ” 登陆认证“章节(典型配置--->安全--->AAA--->登陆认证)

2、配置登陆用户的shell等级授权

注意:

若要授权给用户的show命令包含show run,那么给该用户授权的shell等级必须为15级,否则本身shell的配置命令里面就没有show run,设备会提示输入的命令有错误。

配置参考 ” 登陆授权“章节(典型配置--->安全--->AAA--->授权--->登陆授权)

3、配置命令授权列表

注意:

1)我司设备配置命令授权列表需要分别配置0-15级别的命令授权列表

2)默认在line vty 下有调用default的命令授权列表,故配置好的default的命令授权列表在line vty 下无需再次调用

3)若配置的命令授权列表为非default,则需要在line vty 下调用该命令授权列表

Ruijie(config)#aaa authorization commands 0 default group tacacs+ local    //配置名为default的命令授权列表,优先采用tacacs服务器授权,若tacacs服务器不可达采用本地授权

Ruijie(config)#aaa authorization commands 1 default group tacacs+ local

Ruijie(config)#aaa authorization commands 2 default group tacacs+ local

Ruijie(config)#aaa authorization commands 3 default group tacacs+ local

Ruijie(config)#aaa authorization commands 4 default group tacacs+ local

Ruijie(config)#aaa authorization commands 5 default group tacacs+ local

Ruijie(config)#aaa authorization commands 6 default group tacacs+ local

Ruijie(config)#aaa authorization commands 7 default group tacacs+ local

Ruijie(config)#aaa authorization commands 8 default group tacacs+ local

Ruijie(config)#aaa authorization commands 9 default group tacacs+ local

Ruijie(config)#aaa authorization commands 10 default group tacacs+ local

Ruijie(config)#aaa authorization commands 11 default group tacacs+ local

Ruijie(config)#aaa authorization commands 12 default group tacacs+ local

Ruijie(config)#aaa authorization commands 13 default group tacacs+ local

Ruijie(config)#aaa authorization commands 14 default group tacacs+ local

Ruijie(config)#aaa authorization commands 15 default group tacacs+ local

4、tacacs服务器的配置

如下示例为思科ACS 4.0的配置

1)添加一个用户,并指定用户组

a、单击主页面 User Setup 输入用户名 tacacs 单击 Add/Edit添加用户

b、配置该用户的密码,并指定该用户所属的用户组,单击 submit 提交配置。

注意:

ACS 4.0 命令授权是基于用户组的,故需要把该用户添加到单独的一个用户组

2)配置ACS上命令授权列表

a、进入ACS命令授权列表配置

单击主页面 SHared Profile Components 然后 单击 Shell Command Authorization Sets

b、单击Add 添加命令授权列表

输入命令授权列表名字以及需要授权的命令

3)配置用户组使用的授权列表

a、进入用户组配置

单击主页面 Group Setup 选择该用户所在的组,单击 Edit Settings进入用户组设置

b、配置该用户组的命令授权列表,配置完成后 单击 Submit + Restart 提交配置

五、配置验证

PC通过telnet登陆路由器,若只能进行show、ping的操作,其他配置命令无法执行,则 aaa命令授权配置正确

 

 

 

00 分享 纠错
相关条目