如何给TACACS+和RADIUS分配权限级别

原文引自： [url]http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009465c.shtml[/url]

 

1 简介
本文件阐述如何更改某些命令的权限级别，并举例说明了路由器与TACACS +和RADIUS服务器的配置模板。

2 先决条件
2.1 需求
阅读此文的读者最好熟悉路由器权限级别的相关知识。
默认情况下，路由器有三个级别的特权。
• privilege level 1    默认登录级别，提示符是Router>
• privilege level 15   特权模式，提示符是路Router＃
• privilege level 0    很少使用，包括5个命令：disable、enable、exit、help和logout
2-14级通常不用作默认配置，正常情况下15级权限可以降低到2-14级，1级权限可以提升到2-14级。很显然，这也涉及到路由器安全管理。
要查看登录用户权限级别，键入show privilege命令即可。要确定什么命令可在你使用的Cisco IOS版本的特定权限级别可用，在你以特定权限登入命令行后输入？即可查看。
 注：你可以使用TACACS+认证服务器代替权限分级授权，但RADIUS协议不支持的命令授权。
2.2 常用组件
本文内容只支持Cisco IOS 11.2或更高版本。
本文中的配置信息是在特定的实验室环境的设备上的执行的，这些所有的设备使用的都是默认配置。 如果您要应用到正在使用的网络中，在使用以下配置前请确保了解其中潜在的风险。
2.3 协议
欲了解更多的文档协议，请查阅： [url]http://www.cisco.com/en/US/tech/tk801/tk36/technologies_tech_note09186a0080121ac5.shtml[/url]
3 范例
在这个例子中，snmp-server命令从默认特权级别15降至7 级。ping命令从权限级别1上升至7级权限。当用户身份被验证后，该用户由服务器分配7的权限级别，用show privileges命令查看显示“Current privilege level is 7”，此时用户就可以在配置模式执行ping和snmp-server命令，而其它配置命令是不可用的。
3.1 配置路由器
Router - 11.2
aaa new-model
aaa authentication login default tacacs+|radius local aaa authorization exec tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
Router - 11.3.3.T and Later (until 12.0.5.T)
aaa new-model
aaa authentication login default tacacs+|radius local aaa authorization exec default tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure
Router - 12.0.5.T and Later
aaa new-model
aaa authentication login default group tacacs+|radius local aaa authorization exec default group tacacs+|radius local
username backup privilege 7 password 0 backup
tacacs-server host 171.68.118.101
tacacs-server key cisco
radius-server host 171.68.118.101
radius-server key cisco
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

3.2 配置服务器
Cisco Secure NT TACACS+
按照以下步骤配置服务器：
1.输入用户名和密码。
2.在组设置中，务必检查shell/exec，而且确认7已经被输入权限级别列表。
TACACS+ - Stanza in Freeware Server
Stanza in TACACS+ freeware:
user = seven {
login = cleartext seven
service = exec {
priv-lvl = 7
}
}
Cisco Secure UNIX TACACS+
user = seven {
password = clear "seven"
service = shell {
set priv-lvl = 7
}
}
Cisco Secure NT RADIUS
按照以下步骤配置服务器：
1.输入用户名和密码。
2.在IETF的组设置中，Service-type(属性6)=Nas-Prompt
3.在Cisco RADIUS区域，检查AV-Pair，并在对话框下输入shell:priv-lvl=7
Cisco Secure UNIX RADIUS
user = seven{
radius=Cisco {
check_items= {
2="seven"
}
reply_attributes= {
6=7
9,1="shell:priv-lvl=7"
}
}
}
用户文件的用户名是“seven”
注：服务器必须支持Cisco av-pairs。
• seven密码= passwdxyz
• Service-type = shell-user
• Cisco avpair = shell:priv-lvl=7

其实上面内容中前面的基本都是废话，英文的技术文档总是废话连篇。对于部分的技术内容我也不是很熟悉，最近工作有涉及相关的东西，所以翻译过来看看。不对的地方还请大家指正！