首页 > 代码库 > AAA 命令授权

AAA 命令授权

运行Cisco IOS软件的思科设备提2种授权方式:
1.级别授权 (Enable priviledges)  
2.命令授权   Shell(exec)
 
 
Cisco IOS软件有16个特权级别,即0到15 ,比如说等级1只有一些基本的show命令等,而等级15是全部命令的集合。其他像2~14共13个等级的命令集是要用户自己在认证设备本地定义的。
 
缺省级别:
 
特权级别
说明
包括disable, enable, exit, help和logout命令
包括router>提示值时的所有用户级命令
15 包括router#提示值时的所有启用级命令
 
 
 
权限等级应用实例
网络管理员角色需求:
 
定义一个只读权限帐号,等级为level5;
定义一个能修改interface的权限帐号,等级为level10.
根据上面阐述,权限等级2~14等级必须在IOS上面配置必要的命令集配置,所以在交换机配置命令集如下:
 
AAA配置:
 
aaa new-model
aaa authentication login default group tacacs+ local none
aaa authorization config-commands //针对(config)#下命令集中授权
aaa authorization exec default group tacacs+ local none
aaa authorization commands 1 default group tacacs+ local none
aaa authorization commands 5 default group tacacs+ local none
aaa authorization commands 10 default group tacacs+ local none
aaa authorization commands 15 default group tacacs+ local none
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 5 default start-stop group tacacs+
aaa accounting commands 10 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
 
权限等级命令集配置:
 
privilege exec level 5 show start
privilege exec level 10 configure
privilege exec level 10 write
privilege configure level 10 interface
privilege interface level 10 shutdown
privilege interface level 10 switchport access vlan
tacacs-server host a.b.c.d
tacacs-server key ******

AAA 命令授权