level :要进行授权的命令级别,范围0~15,决定哪个级别的命令需要授权通过后才能执行。
default :使用该参数,则后面定义的方法列表作为命令授权的默认方法。 list-name :定义一个命令授权的方法列表,可以是任何字符串。 method :必须下表所列关键字之一,一个方法列表最多有4个方法:
关键字 none group 【缺省情况】
关闭AAA命令授权功能。
【命令模式】
全局配置模式。
【使用指南】
网络设备支持对用户可执行的命令进行授权,当用户输入并试图执行某条命令时,AAA将该命令发送到安全服务器上,如果安全服务器允许执行该命令,则该命令被执行,否则该命令不执行,并会给出执行命令被拒绝的提示。
配置命令授权的时候需要指定命令的级别,这个级别是命令的默认级别(例如,某命令对于14级以上用户可见,则该命令的默认级别就是14级的)。
配置了命令授权方法后,必须将其应用在需要进行命令授权的终端线路上,否则将不生效。
【举例】
下面的示例使用TACACS+服务器对15级命令进行授权:
Ruijie(config)# aaa authorization commands 15 default group tacacs+
【相关命令】
命令 aaa new-model authorization commands
说明 使能AAA安全服务 在终端线路上应用命令授权 不进行授权 使用服务器组进行授权,目前支持TACACS+服务器组 描述 46.2.2 aaa authorization config-commands
要使用AAA对配置模式(包括全局配置模式及其子模式)下的命令进行授权,执行全局配置命令aaa authorization config-commands。该命令的no形式关闭AAA对配置模式下的命令的授权功能。 aaa authorization config-commands no aaa authorization config-commands
【参数说明】
该命令没有参数或关键字。
【缺省情况】
默认不对配置模式下命令的进行授权。
【命令模式】
全局配置模式。
【使用指南】
如果只对非配置模式(如特权模式)下的命令进行授权,可以使用该命令的no模式关闭配置模式的授权功能,则配置模式及其子模式下的命令不需要进行命令授权就可以执行。
【举例】
下面的示例打开对配置模式下命令的授权功能:
Ruijie(config)# aaa authorization config-commands
【相关命令】
命令 aaa new-model aaa authorization commands
说明 使能AAA安全服务 定义AAA命令授权 46.2.3 aaa authorization console
要使用AAA对通过控制台登录的用户,所执行的命令进行授权,执行全局配置命令aaa authorization console。该命令的no形式关闭AAA对对通过控制台登录的用户所执行命令的授权功能。 aaa authorization console no aaa authorization console
【参数说明】
该命令没有参数或关键字。
【缺省情况】
默认不对控制台用户执行的命令进行授权。
【命令模式】
全局配置模式。
【使用指南】
网络设备支持区分通过控制台登录和其他终端登录的用户,可以设置控制台登录的用户,是否需要进行命令授权。如果关闭了控制台的命令授权功能,则已经应用到控制台线路的命令授权方法列表将不生效。
【举例】
下面的示例配置控制台登录用户的命令授权功能: Ruijie(config)# aaa authorization console
【相关命令】
命令 aaa new-model aaa authorization commands authorization commands
说明 使能AAA安全服务 定义AAA命令授权 在终端线路上应用命令授权 46.2.4 aaa authorization exec
要使用AAA对登录到NAS的CLI界面的用户进行Exec授权,赋予其权限级别,执行全局配置命令aaa authorization exec。该命令的no形式关闭AAA Exec的授权功能。
aaa authorization exec {default | list-name} method1 [method2...] no aaa authorization exec {default | list-name}
【参数说明】
default :使用该参数,则后面定义的方法列表作为Exec授权的默认方法。
list-name :定义一个Exec授权的方法列表,可以是任何字符串。 method :必须下表所列关键字之一,一个方法列表最多有4个方法:
关键字 local none group 描述 使用本地用户名数据库进行授权 不进行授权 使用服务器组进行授权,目前支持RADIUS和TACACS+服务器组 【缺省情况】
关闭AAA Exec授权功能。
【命令模式】
全局配置模式。
【使用指南】
网络设备支持对登录到NAS的CLI界面的用户进行授权,赋予其CLI权限级别(0~15级)。目前是对于通过了Login认证的用户,才进行Exec授权。如果Exec授权失败,则无法进入CLI界面。
配置了Exec授权方法后,必须将其应用在需要进行Exec授权的终端线路上,否则将不生效。
【举例】
下面的示例使用RADIUS服务器进行Exec授权:
Ruijie(config)# aaa authorization exec default group radius
【相关命令】
命令 aaa new-model authorization exec username 说明 使能AAA安全服务 在终端线路上应用授权 定义本地用户数据库 46.2.5 aaa authorization network
要使用AAA对访问网络用户的服务请求(包括PPP、SLIP等协议)进行授权,执行全局配置命令aaa authorization network。该命令的no形式关闭AAA的授权功能。
aaa authorization network {default | list-name} method1 [method2...] no aaa authorization network {default | list-name}
【参数说明】
default :使用该参数,则后面定义的方法列表作为Network授权的默认方法。
method :必须下表所列关键字之一,一个方法列表最多有4个方法:
关键字 none group 不进行网络授权 使用服务器组进行授权,目前支持RADIUS服务器组 描述 【缺省情况】
关闭AAA Network授权功能。
【命令模式】
全局配置模式。
【使用指南】
网络设备支持对所有网络有关的服务请求如PPP、SLIP等协议进行授权。如果配置了授权,则对所有的认证用户或接口自动进行授权。
可以指定三种不同的授权方法,与身份认证一样,只有当前的授权方法没有反应,才能继续使用后面的方法进行授权,如果当前授权方法失败,则不再使用其他后继的授权方法。
RADIUS服务器是通过返回一系列的属性对来完成对认证用户的授权。所以RADIUS授权是建立在RADIUS认证的基础上的,只有RADIUS认证通过了才有可能获取RADIUS授权。
【举例】
下面的示例使用RADIUS服务器对网络服务进行授权:
Ruijie(config)# aaa authorization network default group radius
【相关命令】
命令 aaa new-model aaa accounting aaa authentication username
说明 使能AAA安全服务 定义AAA记账 定义AAA身份认证 定义本地用户数据库 46.2.6 authorization commands
要将命令授权列表应用在指定终端线路上,执行线路配置模式命令 authorization commands。该命令的no形式取消线路上命令授权功能。 authorization commands level {default | list-name} no authorization commands level
【参数说明】
level :要进行授权的命令级别,范围0~15,决定哪个级别的命令需要授权通过后才能执行。
default :使用该参数,应用命令授权的默认方法。 list-name :应用一个已定义的命令授权的方法列表。
【缺省情况】
未配置AAA命令授权功能。