【交换机】配置AAA命令授权的功能原理是什么？

发布时间：2013-11-17

点击量：8526

AAA提供授权功能，交换机通常有0-15这16种权限级别划分，不同的级别对应的是能够管理，配置，查看的内容的不同，15级别的权限最高，而0级别的权限最低。处于安全的考虑，管理员希望在设备上所做的所有命令都需要经过统一的校验，以验证该用户的权限是否足够执行当前的这个命令，每条命令都需要经过授权，成功能允许执行，否则命令将执行失败。每个级别的权限都对应的着一套该级别所包含的命令列表，这样该级别的用户只能执行该列表所包含的命令，以及比他级别低的所有命令，但是无法执行比他高级别的命令，如果要执行需要做命令授权，比如show 命令是1级别的命令，那么这样级别1-15的用户都是可以执行的，但是delete命令是15级别的命令，这样只有15级别的用户才有这个权限执行，如果是其他级别，比如一个级别5的用户想执行，那么需要经过命令授权，通过预先在Tacacs+服务器上面定义的授权策略来判断，看是否将这个delete命令赋予了5级别的用户，如果有定义那么执行成功，如果没有相应的授权定义策略，那么就执行失败。
通过配合Tacacs+服务器定义每个级别命令的授权策略，这样就能控制每个用户能够进行的管理行为，比如超级管理员，还是一般管理员，还是普通的查看用户他们的工作性质与对网络的负责分工不同，需要有区别的对待，避免一般用户执行了一些高危的操作或者对配置进行了随意的更改，导致网络事故发生。

针对0-15级别的权限说明，目前我司实现的机制如下：
level 0：最低的级别（Ruijie>这样的模式），只能执行ping，traceroute的操作，以及enable privilege提升自己的权限到一个更高的等级，否则level 0的用户当前连show run都无法执行；
level 1：普通用户模式（Ruijie>这样的模式），相比level 0用户他的权限就是多了一个show的命令，可以查看设备当前的一些运行，配置信息，但是无法进行任何功能配置；
level 2-14：一般管理员模式（Ruijie#这样的模式），这个模式的权限有了较大的提升，可以进行大部分功能的配置，查看，修改等，但是无法执行一些高危操作，比如删除，修改，重命名文件，重启设备，配置用户名&密码等；
level 15：超级管理员模式（Ruijie#这样的模式），最高权限，可以执行所有命令，没有任何限制。

最后说明下，命令授权只能采用Tacacs+协议来实现。