如何给TACACS+和RADIUS分配权限级别
原文引自: [url]http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009465c.shtml[/url]
1 简介
本文件阐述如何更改某些命令的权限级别,并举例说明了路由器与TACACS +和RADIUS服务器的配置模板。
本文件阐述如何更改某些命令的权限级别,并举例说明了路由器与TACACS +和RADIUS服务器的配置模板。
2 先决条件
2.1 需求
阅读此文的读者最好熟悉路由器权限级别的相关知识。
默认情况下,路由器有三个级别的特权。
• privilege level 1 默认登录级别,提示符是Router>
• privilege level 15 特权模式,提示符是路Router#
• privilege level 0 很少使用,包括5个命令:disable、enable、exit、help和logout
2-14级通常不用作默认配置,正常情况下15级权限可以降低到2-14级,1级权限可以提升到2-14级。很显然,这也涉及到路由器安全管理。
要查看登录用户权限级别,键入show privilege命令即可。要确定什么命令可在你使用的Cisco IOS版本的特定权限级别可用,在你以特定权限登入命令行后输入?即可查看。
注:你可以使用TACACS+认证服务器代替权限分级授权,但RADIUS协议不支持的命令授权。
2.2 常用组件
本文内容只支持Cisco IOS 11.2或更高版本。
本文中的配置信息是在特定的实验室环境的设备上的执行的,这些所有的设备使用的都是默认配置。 如果您要应用到正在使用的网络中,在使用以下配置前请确保了解其中潜在的风险。
2.3 协议
欲了解更多的文档协议,请查阅: [url]http://www.cisco.com/en/US/tech/tk801/tk36/technologies_tech_note09186a0080121ac5.shtml[/url]
3 范例
在这个例子中,snmp-server命令从默认特权级别15降至7 级。ping命令从权限级别1上升至7级权限。当用户身份被验证后,该用户由服务器分配7的权限级别,用show privileges命令查看显示“Current privilege level is 7”,此时用户就可以在配置模式执行ping和snmp-server命令,而其它配置命令是不可用的。
3.1 配置路由器
Router - 11.2
aaa new-model
aaa authentication login default tacacs+|radius local aaa authorization exec tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
Router - 11.3.3.T and Later (until 12.0.5.T)
aaa new-model
aaa authentication login default tacacs+|radius local aaa authorization exec default tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
Router - 12.0.5.T and Later
aaa new-model
aaa authentication login default group tacacs+|radius local aaa authorization exec default group tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
2.1 需求
阅读此文的读者最好熟悉路由器权限级别的相关知识。
默认情况下,路由器有三个级别的特权。
• privilege level 1 默认登录级别,提示符是Router>
• privilege level 15 特权模式,提示符是路Router#
• privilege level 0 很少使用,包括5个命令:disable、enable、exit、help和logout
2-14级通常不用作默认配置,正常情况下15级权限可以降低到2-14级,1级权限可以提升到2-14级。很显然,这也涉及到路由器安全管理。
要查看登录用户权限级别,键入show privilege命令即可。要确定什么命令可在你使用的Cisco IOS版本的特定权限级别可用,在你以特定权限登入命令行后输入?即可查看。
注:你可以使用TACACS+认证服务器代替权限分级授权,但RADIUS协议不支持的命令授权。
2.2 常用组件
本文内容只支持Cisco IOS 11.2或更高版本。
本文中的配置信息是在特定的实验室环境的设备上的执行的,这些所有的设备使用的都是默认配置。 如果您要应用到正在使用的网络中,在使用以下配置前请确保了解其中潜在的风险。
2.3 协议
欲了解更多的文档协议,请查阅: [url]http://www.cisco.com/en/US/tech/tk801/tk36/technologies_tech_note09186a0080121ac5.shtml[/url]
3 范例
在这个例子中,snmp-server命令从默认特权级别15降至7 级。ping命令从权限级别1上升至7级权限。当用户身份被验证后,该用户由服务器分配7的权限级别,用show privileges命令查看显示“Current privilege level is 7”,此时用户就可以在配置模式执行ping和snmp-server命令,而其它配置命令是不可用的。
3.1 配置路由器
Router - 11.2
aaa new-model
aaa authentication login default tacacs+|radius local aaa authorization exec tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
Router - 11.3.3.T and Later (until 12.0.5.T)
aaa new-model
aaa authentication login default tacacs+|radius local aaa authorization exec default tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
Router - 12.0.5.T and Later
aaa new-model
aaa authentication login default group tacacs+|radius local aaa authorization exec default group tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
3.2 配置服务器
Cisco Secure NT TACACS+
按照以下步骤配置服务器:
1.输入用户名和密码。
2.在组设置中,务必检查shell/exec,而且确认7已经被输入权限级别列表。
TACACS+ - Stanza in Freeware Server
Stanza in TACACS+ freeware:
user = seven {
login = cleartext seven
service = exec {
priv-lvl = 7
}
}
Cisco Secure UNIX TACACS+
user = seven {
password = clear "seven"
service = shell {
set priv-lvl = 7
}
}
Cisco Secure NT RADIUS
按照以下步骤配置服务器:
1.输入用户名和密码。
2.在IETF的组设置中,Service-type(属性6)=Nas-Prompt
3.在Cisco RADIUS区域,检查AV-Pair,并在对话框下输入shell:priv-lvl=7
Cisco Secure UNIX RADIUS
user = seven{
radius=Cisco {
check_items= {
2="seven"
}
reply_attributes= {
6=7
9,1="shell:priv-lvl=7"
}
}
}
用户文件的用户名是“seven”
注:服务器必须支持Cisco av-pairs。
• seven密码= passwdxyz
• Service-type = shell-user
• Cisco avpair = shell:priv-lvl=7
Cisco Secure NT TACACS+
按照以下步骤配置服务器:
1.输入用户名和密码。
2.在组设置中,务必检查shell/exec,而且确认7已经被输入权限级别列表。
TACACS+ - Stanza in Freeware Server
Stanza in TACACS+ freeware:
user = seven {
login = cleartext seven
service = exec {
priv-lvl = 7
}
}
Cisco Secure UNIX TACACS+
user = seven {
password = clear "seven"
service = shell {
set priv-lvl = 7
}
}
Cisco Secure NT RADIUS
按照以下步骤配置服务器:
1.输入用户名和密码。
2.在IETF的组设置中,Service-type(属性6)=Nas-Prompt
3.在Cisco RADIUS区域,检查AV-Pair,并在对话框下输入shell:priv-lvl=7
Cisco Secure UNIX RADIUS
user = seven{
radius=Cisco {
check_items= {
2="seven"
}
reply_attributes= {
6=7
9,1="shell:priv-lvl=7"
}
}
}
用户文件的用户名是“seven”
注:服务器必须支持Cisco av-pairs。
• seven密码= passwdxyz
• Service-type = shell-user
• Cisco avpair = shell:priv-lvl=7
其实上面内容中前面的基本都是废话,英文的技术文档总是废话连篇。对于部分的技术内容我也不是很熟悉,最近工作有涉及相关的东西,所以翻译过来看看。不对的地方还请大家指正!