46
配置AAA命令
46.1 认证相关命令
? aaa authentication enable ? aaa authentication login ? aaa authentication ppp ? login authentication
46.1.1 aaa authentication enable
要使用AAA进行Enable认证,请执行全局配置命令aaa authentication enable配置Enable认证的方法列表。该命令的no 形式删除认证的方法列表。
aaa authentication enable default method1 [method2...] no aaa authentication enable default
【参数说明】
default :使用该参数,则后面定义的方法列表作为Enable认证的默认方法。Enable认证是基于全局的认证,目前只支持设置默认的认证方法列表。
method :必须是下表所列关键字之一,一个方法列表最多有4个方法:
关键字 local none group 【缺省情况】
无
【命令模式】
全局配置模式。
【使用指南】
如果设备启用AAA Enable认证服务,用户就必须使用AAA进行Enable认证协商。您必须使用aaa authentication enable命令配置默认的方法列表用于Enable认证。
描述 使用本地用户名数据库进行认证 不进行认证 使用服务器组进行认证,目前支持RADIUS和TACACS+服务器组 只有前面的方法没有反应,才能使用后面的方法进行身份认证。 Enable认证方法列表配置以后,Enable认证功能自动生效。
【举例】
下面的示例定义AAA Enable身份认证方法列表。该认证方法列表先使用RADIUS安全服务器进行身份认证,如果在一定时限内没有收到RADIUS安全服务器的应答,则使用本地用户数据库(local)进行身份认证。 Ruijie(config)# aaa authentication enable default group radius local
【相关命令】
命令 aaa new-model enable username
说明 使用AAA安全服务 切换用户级别 定义本地用户数据库 46.1.2 aaa authentication login
要使用AAA进行Login(登录)认证,请执行全局配置命令aaa authentication login配置Login认证的方法列表。该命令的no 形式删除认证的方法列表。
aaa authentication login {default | list-name} method1 [method2...] no aaa authentication login {default | list-name}
【参数说明】
default :使用该参数,则后面定义的方法列表作为Login认证的默认方法。
list-name :定义一个Login认证的方法列表,可以是任何字符串。 method :必须下表所列关键字之一,一个方法列表最多有4个方法:
关键字 local none group 【缺省情况】
无
【命令模式】
全局配置模式。
描述 使用本地用户名数据库进行身份认证 不进行身份认证 使用服务器组进行身份认证,目前支持RADIUS和TACACS+服务器组 【使用指南】
如果设备启用AAA登录认证安全服务,用户就必须使用AAA进行Login认证协商。您必须使用aaa authentication login命令配置默认的或可选的方法列表用于Login认证。
只有前面的方法没有反应,才能使用后面的方法进行身份认证。 设置了Login认证方法后,必须将其应用在需要进行Login认证的终端线路上,否则将不生效。
【举例】
下面的示例定义一个名为list-1的AAA Login认证方法列表。该认证方法列表先使用RADIUS安全服务器进行认证,如果RADIUS安全服务器没有反应,则使用本地用户数据库进行认证。
Ruijie(config)# aaa authentication login list-1 group radius local
【相关命令】
命令 aaa new-model username login authentication
说明 使用AAA安全服务 定义本地用户数据库 在终端线路上应用Login认证 46.1.3 aaa authentication ppp
要使用AAA进行PPP用户认证,请执行全局配置命令aaa authentication ppp配置PPP用户认证的方法列表。该命令的no 形式删除认证的方法列表。
aaa authentication ppp {default | list-name} method1 [method2...] no aaa authentication ppp {default | list-name}
【参数说明】
default :使用该参数,则后面定义的方法列表作为PPP用户认证的默认方法。
list-name :定义一个PPP用户认证的方法列表,可以是任何字符串。 method :必须下表所列关键字之一,一个方法列表最多有4个方法:
关键字 local none group 描述 使用本地用户名数据库进行认证 不进行身份认证 使用服务器组进行认证,目前支持RADIUS服务器组 【缺省情况】
无
【命令模式】
全局配置模式。
【使用指南】
如果设备启用AAA PPP安全服务,用户就必须使用AAA进行PPP用户认证协商。您必须使用aaa authentication ppp命令配置默认的或可选的方法列表用于PPP用户认证。
只有前面的方法没有反应,才能使用后面的方法进行认证。
【举例】
下面的示例定义一个名为rds_ppp的AAA PPP认证方法列表。该认证方法列表先使用RADIUS安全服务器进行认证,如果RADIUS安全服务器没有反应,则使用本地用户数据库进行认证。
Ruijie(config)# aaa authentication ppp rds_ppp group radius local
【相关命令】
命令 aaa new-model ppp authentication username
说明 使用AAA安全服务 PPP协议关联特定方法列表 定义本地用户数据库 46.1.4 login authentication
要在指定的终端线路上应用Login(登录)认证功能,请在线路配置模式下执行login authentication命令应用Login认证的方法列表。该命令的no 形式删除认证的方法列表在该线路上的应用。 login authentication {default | list-name} no login authentication
【参数说明】
default :使用该参数,应用Login认证的默认方法列表。 list-name :应用一个已定义的Login认证的方法列表。
【缺省情况】
无
【命令模式】
线路配置模式。
【使用指南】
默认的Login认证方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认Login认证方法列表,将取代默认的方法列表。如果试图应用未定义的方法列表,则会给出一个警告提示信息,该线路上的Login认证将不会生效,直至定义了该Login认证方法列表才会生效。
【举例】
下面的示例定义一个名为list-1的AAA Login认证方法列表。该认证方法列表使用本地用户数据库进行认证。然后将该方法应用在VTY 0 - 4上。 Ruijie(config)# aaa authentication login list-1 local Ruijie(config)# line vty 0 4
Ruijie(config-line)# login authentication list-1
【相关命令】
命令 aaa new-model username login authentication
说明 使用AAA安全服务 定义本地用户数据库 配置Login认证方法列表 46.2 授权相关命令
? aaa authorization commands ? aaa authorization config-commands ? aaa authorization console ? aaa authorization exec ? aaa authorization network ? authorization commands ? authorization exec
46.2.1 aaa authorization commands
对于已登录到NAS的CLI界面上的用户,要使用要AAA命令授权功能对用户执行的命令进行授权,允许或禁止某个用户执行具体的命令。请执行全局配置命令aaa authorization commands。该命令的no形式关闭AAA命令授权功能。
aaa authorization commands level {default | list-name} method1 [method2...]
no aaa authorization commands level {default | list-name}
【参数说明】