aaa服务器是如何提供授权信息到nas的,配置AAA命令之授权相关命令
aaa authorization commands
对于已登录到NAS的CLI界面上的用户,要使用要AAA命令授权功能对用户执行的命令进行授权,允许或禁止某个用户执行具体的命令。请执行全局配置命令aaa authorization commands。该命令的no形式关闭AAA命令授权功能。
aaa authorization commandslevel {default| list-name}method1 [method2…]
no aaa authorization commandslevel {default | list-name}参数说明
参数
描述
level
要进行授权的命令级别,范围0~15,决定哪个级别的命令需要授权通过后才能执行。
default
使用该参数,则后面定义的方法列表作为命令授权的默认方法
list-name
定义一个命令授权的方法列表,可以是任何字符串。
method
必须是“none、group”所列关键字之一,一个方法列表最多有4个方法
none
不进行授权
group
使用服务器组进行授权,目前支持TACACS+服务器组
缺省配置
关闭AAA命令授权功能。
命令模式
全局配置模式。
使用指导
RGOS支持对用户可执行的命令进行授权,当用户输入并试图执行某条命令时,AAA将该命令发送到安全服务器上,如果安全服务器允许执行该命令,则该命令被执行,否则该命令不执行,并会给出执行命令被拒绝的提示。
配置命令授权的时候需要指定命令的级别,这个级别是命令的默认级别(例如,某命令对于14级以上用户可见,则该命令的默认级别就是14级的)。
配置了命令授权方法后,必须将其应用在需要进行命令授权的终端线路上,否则将不生效。
配置举例
下面的示例使用TACACS+服务器对15级命令进行授权:
Ruijie(config)# aaa authorization commands15default group tacacs+
相关命令
命令
描述
aaa new-model
使能AAA安全服务
authorization commands
在终端线路上应用命令授权
平台说明
无
命令历史
版本号
说明
–
–
1.2.2aaa authorization config-commands
要使用AAA对配置模式(包括全局配置模式及其子模式)下的命令进行授权,执行全局配置命令aaa authorization config-commands。该命令的no形式关闭AAA对配置模式下的命令的授权功能。
aaa authorization config-commands
no aaa authorization config-commands参数说明
参数
描述
–
–
缺省配置
默认不对配置模式下命令的进行授权。
命令模式
全局配置模式。
使用指导
如果只对非配置模式(如特权模式)下的命令进行授权,可以使用该命令的no模式关闭配置模式的授权功能,则配置模式及其子模式下的命令不需要进行命令授权就可以执行。
配置举例
下面的示例打开对配置模式下命令的授权功能:
Ruijie(config)# aaa authorization config-commands
相关命令
命令
描述
aaa new-model
使能AAA安全服务
aaa authorization commands
定义AAA命令授权
平台说明
无
命令历史
版本号
说明
–
–
1.2.3aaa authorization console
要使用AAA对通过控制台登录的用户,所执行的命令进行授权,执行全局配置命令aaa authorization console。该命令的no形式关闭AAA对对通过控制台登录的用户所执行命令的授权功能。
aaa authorization console
no aaa authorization console参数说明
参数
描述
–
–
缺省配置
默认不对控制台用户执行的命令进行授权。
命令模式
全局配置模式。
使用指导
RGOS支持区分通过控制台登录和其他终端登录的用户,可以设置控制台登录的用户,是否需要进行命令授权。如果关闭了控制台的命令授权功能,则已经应用到控制台线路的命令授权方法列表将不生效。
配置举例
下面的示例配置控制台登录用户的命令授权功能:
Ruijie(config)# aaa authorization console
相关命令
命令
描述
aaa new-model
使能AAA安全服务
aaa authorization commands
定义AAA命令授权
authorization commands
在终端线路上应用命令授权
平台说明
无
命令历史
版本号
说明
–
–
1.2.4aaa authorization exec
要使用AAA对登录到NAS的CLI界面的用户进行Exec授权,赋予其权限级别,执行全局配置命令aaa authorization exec。该命令的no形式关闭AAA Exec的授权功能。
aaa authorization exec {default| list-name}method1 [method2…]
no aaa authorization exec{default | list-name}参数说明
参数
描述
default
使用该参数,则后面定义的方法列表作为Exec授权的默认方法。
list-name
定义一个Exec授权的方法列表,可以是任何字符串。
method
必须是“local、none、group”所列关键字之一,一个方法列表最多有4个方法
local
使用本地用户名数据库进行授权
none
不进行授权
group
使用服务器组进行授权,目前支持RADIUS和TACACS+服务器组
缺省配置
关闭AAA Exec授权功能。
命令模式
全局配置模式。
使用指导
RGOS支持对登录到NAS的CLI界面的用户进行授权,赋予其CLI权限级别(0~15级)。目前是对于通过了Login认证的用户,才进行Exec授权。如果Exec授权失败,则无法进入CLI界面。
配置了Exec授权方法后,必须将其应用在需要进行Exec授权的终端线路上,否则将不生效。
配置举例
下面的示例使用RADIUS服务器进行Exec授权:
Ruijie(config)# aaa authorization exec default group radius
相关命令
命令
描述
aaa new-model
使能AAA安全服务
authorization exec
在终端线路上应用授权
username
定义本地用户数据库
平台说明
无
命令历史
版本号
说明
–
–
1.2.5aaa authorization network
要使用AAA对访问网络用户的服务请求(包括PPP、SLIP等协议)进行授权,执行全局配置命令aaa authorization network。该命令的no形式关闭AAA的授权功能。
aaa authorization network {default| list-name}method1 [method2…]
no aaa authorization network{default | list-name}参数说明
参数
描述
default
:使用该参数,则后面定义的方法列表作为Network授权的默认方法。
method
必须是“none、group”所列关键字之一,一个方法列表最多有4个方法
none
不进行网络授权
group
使用服务器组进行授权,目前支持RADIUS和TACACS+服务器组
缺省配置
关闭AAA Network授权功能。
命令模式
全局配置模式。
使用指导
RGOS支持对所有网络有关的服务请求如PPP、SLIP等协议进行授权。如果配置了授权,则对所有的认证用户或接口自动进行授权。
可以指定三种不同的授权方法,与身份认证一样,只有当前的授权方法没有响应,才能继续使用后面的方法进行授权,如果当前授权方法失败,则不再使用其他后继的授权方法。
RADIUS或TACACS+服务器是通过返回一系列的属性对来完成对认证用户的授权。所以网络授权是建立在认证的基础上的,只有认证通过了才有可能获取网络授权。
配置举例
下面的示例使用RADIUS服务器对网络服务进行授权:
Ruijie(config)# aaa authorization network default group radius
相关命令
命令
描述
aaa new-model
使能AAA安全服务
aaa accounting
定义AAA记帐
aaa authentication
定义AAA身份认证
username
定义本地用户数据库
平台说明
无
命令历史
版本号
说明
–
–
1.2.6authorization commands
要将命令授权列表应用在指定终端线路上,执行线路配置模式命令authorization commands。该命令的no形式取消线路上命令授权功能。
authorization commandslevel {default| list-name}
no authorization commandslevel参数说明
参数
描述
level
要进行授权的命令级别,范围0~15,决定哪个级别的命令需要授权通过后才能执行。
default
使用该参数,应用命令授权的默认方法。
list-name
应用一个已定义的命令授权的方法列表。
缺省配置
未配置AAA命令授权功能。
命令模式
线路配置模式。
使用指导
默认的命令授权方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认命令授权方法列表,将取代默认的方法列表。如果试图应用未定义的方法列表,则会给出一个警告提示信息,该线路上的命令授权将不会生效,直至定义了该命令授权方法列表才会生效。
配置举例
下面的示例配置一个名为cmd的命令授权列表,针对15级命令进行授权,使用TACACS+作为安全服务器,如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上:
Ruijie(config)# aaa authorization commands15cmdgroup tacacs+ none
Ruijie(config)# line vty0 4
Ruijie(config-line)# authorization commands15cmd
相关命令
命令
描述
aaa new-model
使能AAA安全服务
aaa authorization commands
定义AAA命令授权方法列表
平台说明
无
命令历史
版本号
说明
–
–
1.2.7authorization exec
要将Exec授权列表应用在指定终端线路上,执行线路配置模式命令authorization exec。该命令的no形式取消线路上Exec授权功能。
authorization exec{default| list-name}
no authorization exec参数说明
参数
描述
default
使用该参数,应用Exec授权的默认方法。
list-name
应用一个已定义的Exec授权的方法列表。
缺省配置
未配置AAA Exec授权功能。
命令模式
线路配置模式。
使用指导
默认的Exec授权方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认Exec授权方法列表,将取代默认的方法列表。如果试图应用未定义的方法列表,则会给出一个警告提示信息,该线路上的Exec授权将不会生效,直至定义了该Exec授权方法列表才会生效。
配置举例
下面的示例配置一个名为exec-1的Exec授权列表,使用RADIUS作为安全服务器,如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上:
Ruijie(config)# aaa authorization execexec-1group radius none
Ruijie(config)# line vty0 4
Ruijie(config-line)# authorization execexec-1
相关命令
命令
描述
aaa new-model
使能AAA安全服务
aaa authorization commands
定义AAA Exec授权方法列表
平台说明
无
命令历史
版本号
说明
–
–