发布时间:2013-09-11
点击量:3359功能介绍:
AAA提供授权功能,可以对登陆设备的用户授权特定的配置命令。比如对登陆设备的用户,只授权show、ping等测试命令,不授权用户修改配置的命令。
应用场景:
企业对路由器的安全性要求较高,不同的用户登陆设备,采用不同的用户名及密码进行验证,并且不同的用户授权不同的配置命令,可以采用AAA对登陆的用户进行验证及配置命令授权。
一、组网需求
telnet登陆设备,采用aaa认证,只给用户授权show、ping 的命令,不能修改设备的配置。
二、组网拓扑
三、配置要点
1、配置基础路由、aaa登陆认证
2、配置登陆用户的shell等级授权
3、配置命令授权列表
4、tacacs服务器的配置
四、配置步骤
1、配置基础路由、aaa登陆认证
配置参考 ” 登陆认证“章节(典型配置--->安全--->AAA--->登陆认证)
2、配置登陆用户的shell等级授权
注意:
若要授权给用户的show命令包含show run,那么给该用户授权的shell等级必须为15级,否则本身shell的配置命令里面就没有show run,设备会提示输入的命令有错误。
配置参考 ” 登陆授权“章节(典型配置--->安全--->AAA--->授权--->登陆授权)
3、配置命令授权列表
注意:
1)我司设备配置命令授权列表需要分别配置0-15级别的命令授权列表
2)默认在line vty 下有调用default的命令授权列表,故配置好的default的命令授权列表在line vty 下无需再次调用
3)若配置的命令授权列表为非default,则需要在line vty 下调用该命令授权列表
Ruijie(config)#aaa authorization commands 0 default group tacacs+ local //配置名为default的命令授权列表,优先采用tacacs服务器授权,若tacacs服务器不可达采用本地授权
Ruijie(config)#aaa authorization commands 1 default group tacacs+ local
Ruijie(config)#aaa authorization commands 2 default group tacacs+ local
Ruijie(config)#aaa authorization commands 3 default group tacacs+ local
Ruijie(config)#aaa authorization commands 4 default group tacacs+ local
Ruijie(config)#aaa authorization commands 5 default group tacacs+ local
Ruijie(config)#aaa authorization commands 6 default group tacacs+ local
Ruijie(config)#aaa authorization commands 7 default group tacacs+ local
Ruijie(config)#aaa authorization commands 8 default group tacacs+ local
Ruijie(config)#aaa authorization commands 9 default group tacacs+ local
Ruijie(config)#aaa authorization commands 10 default group tacacs+ local
Ruijie(config)#aaa authorization commands 11 default group tacacs+ local
Ruijie(config)#aaa authorization commands 12 default group tacacs+ local
Ruijie(config)#aaa authorization commands 13 default group tacacs+ local
Ruijie(config)#aaa authorization commands 14 default group tacacs+ local
Ruijie(config)#aaa authorization commands 15 default group tacacs+ local
4、tacacs服务器的配置
如下示例为思科ACS 4.0的配置
1)添加一个用户,并指定用户组
a、单击主页面 User Setup 输入用户名 tacacs 单击 Add/Edit添加用户
b、配置该用户的密码,并指定该用户所属的用户组,单击 submit 提交配置。
注意:
ACS 4.0 命令授权是基于用户组的,故需要把该用户添加到单独的一个用户组
2)配置ACS上命令授权列表
a、进入ACS命令授权列表配置
单击主页面 SHared Profile Components 然后 单击 Shell Command Authorization Sets
b、单击Add 添加命令授权列表
输入命令授权列表名字以及需要授权的命令
3)配置用户组使用的授权列表
a、进入用户组配置
单击主页面 Group Setup 选择该用户所在的组,单击 Edit Settings进入用户组设置
b、配置该用户组的命令授权列表,配置完成后 单击 Submit + Restart 提交配置
五、配置验证
PC通过telnet登陆路由器,若只能进行show、ping的操作,其他配置命令无法执行,则 aaa命令授权配置正确
