44.4.2 授权的准备工作
在配置AAA授权以前,必须完成下述任务:
? 启用AAA服务。关于如何启用AAA服务,请参见“AAA概述”。
? (可选)配置AAA认证。授权一般是在用户通过认证之后进行,但在某些情况下,
没有经过认证也可以单独授权。关于AAA认证的信息,请参见“配置认证”。
? (可选)配置安全协议参数。如果需要使用安全协议进行授权,需要配置安全协
议参数。锐捷产品Network授权支持RADIUS和TACACS+协议,Exec授权支持RADIUS
和TACACS+协议,关于RADIUS协议的信息,请参见“配置RADIUS”,关于TACACS+协议的信息,请参见“配置TACACS+”。
? (可选)如果需要使用本地授权,则需要使用username命令定义用户权限。
44.4.3 配置授权列表
要启用AAA授权,请在全局配置模式下执行以下命令: Step 1 Step 2 Step 3 Step 4
configure terminal aaa new-model aaa authorization exec {default | list-name} method1 [method2|…] aaa authorization network{default | list-name} method1 [method2|…] 命令 进入全局配置模式 打开AAA开关 定义AAA Exec授权方法 定义AAA Network授权方法 作用 44.4.4 配置AAA Exec授权
锐捷产品支持针对登录到网络访问服务器(NAS)的用户终端,授予其执行命令的权限,即
Exec授权。体现为用户登录到NAS的CLI界面时(例如通过Telnet),具备的级别(成功登录后,可以使用show privilege命令查看)。 不论您要决定使用哪种Exec授权方法,只要使用aaa authorization exec命令定义一个或
多个Exec授权方法列表,并应用于您需要进行Exec授权的特定线路就可以了。 要配置AAA Exec授权,在全局配置模式下执行以下命令: Step 1 Step 2 Step 3 Step 4
configure terminal aaa new-model aaa authorization exec {default | list-name} method1 [method2...] line vty line-num 命令 进入全局配置模式 启用AAA。 定义一个授权方法列表,如果需要定义多个方法列表,重复执行该命令。 进入您需要应用AAA Exec授权的线路。 作用 Step 5
authorization exec {default | list-name} 将方法列表应用线路。 关键字list-name用来命名创建授权方法列表,可以是任何字符串;关键字method指的是
授权实际算法。仅当前面的方法返回ERROR(无应答),才使用后面的其他方法;如果前面的方法返回FAIL(失败),则不使用其他授权方法。为了使授权最后能成功返回,即使所有指定方法都没有应答,可以在命令行中将none指定为最后一个授权方法。 例如,在下例中,即使RADIUS服务器超时(TIMEOUT),仍然能够通过Exec授权:aaa
authorization exec default group radius none Step 1 Step 2 Step 3 Step 4
local none group radius group tacacs+ 命令 作用 使用本地用户名数据库进行Exec授权 不进行Exec授权 使用RADIUS服务器组进行Exec授权 使用TACACS+服务器组进行Exec授权 上表列出了锐捷产品支持的AAA Exec授权方法。
Exec授权通常结合Login认证一起使用,并可以在同一个线路上同时使用Login认证和Exec授权。但是要注意,由于授权和认证可以采用不同的方法和不同的
服务器,因此对于相同的用户,认证和授权可能有不同的结果。用户登录时,如果Exec授权失败,即使已经通过了Login认证,也不能进入到CLI界面。
?注意 44.4.4.1使用本地数据库进行Exec授权
要配置使用本地数据库进行Exec授权时,首先需要配置本地数据库。可以在设置本地用户
时,为用户设置权限级别。如果没有设置,则默认的用户级别为1级。请在全局配置模式下,根据具体需求执行以下命令: Step 1 Step 2 Step 3 Step 4 Step 5
configure terminal username name [password password] username name [privilege level] end show running-config 命令 进入全局配置模式 建立本地用户,设置口令 为用户设置权限级别(可选) 退出到特权模式 确认配置 作用 定义本地Exec授权方法列表并应用授权方法列表,可使用以下命令: Step 1
configure terminal 命令 进入全局配置模式 作用 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Step10
aaa new-model aaa authorization exec {default | list-name} local end show aaa method-list configure terminal line vty line-num authorization exec {default | list-name} end show running-config 打开AAA开关 定义使用本地认证方法 退出到特权模式 确认配置的方法列表 进入全局配置模式 进入线路配置模式 应用方法列表 退出到特权模式 确认配置 44.4.4.2使用RADIUS进行Exec授权
要配置用RADIUS服务器进行Exec授权,首先要配置RADIUS服务器,有关RADIUS服
务器配置的信息,请参见“配置RADIUS”。 配置好RADIUS服务器后,就可以配置基于RADIUS服务器的方法列表了,在全局配置模
式下执行以下命令: Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Step10
configure terminal aaa new-model aaa authorization exec {default | list-name} group radius end show aaa method-list configure terminal line vtyline-num authorization exec {default | list-name} end show running-config 命令 进入全局配置模式 打开AAA开关 定义使用RADIUS认证方法 退出到特权模式 确认配置的方法列表 进入全局配置模式 进入线路配置模式 应用方法列表 退出到特权模式 确认配置 作用 44.4.4.3配置Exec授权示例
下例演示如何进行Exec授权。我们设置VTY线路 0~4上的用户登录时采用Login认证,
并且进行Exec授权。其中Login认证采用本地认证,Exec授权先采用RADIUS、如
果没有响应可以采用本地授权。远程RADIUS服务器地址为192.168.217.64,共享密钥为test;本地用户名为ruijie,口令为ruijie,绑定级别是6级。如下:
Ruijie# configure terminal Ruijie(config)# aaa new-model
Ruijie(config)# radius-server host 192.168.217.64 Ruijie(config)# radius-server key test
Ruijie(config)# username ruijie password ruijie Ruijie(config)# username ruijie privilege 6
Ruijie(config)# aaa authentication login mlist1 local Ruijie(config)# aaa authorization exec mlist2 group radius local Ruijie(config)# line vty 0 4
Ruijie(config-line)# login authentication mlist1 Ruijie(config-line)# authorization exec mlist2 Ruijie(config)# end
Ruijie# show running-config aaa new-model !
aaa authorization exec mlist2 group radius local aaa authentication login mlist1 local !
username ruijie password ruijie username ruijie privilege 6 !
radius-server host 192.168.217.64 radius-server key 7 093b100133 !
line con 0 line vty 0 4
authorization exec mlist2 login authentication mlist1 ! End
44.4.5 配置AAA Network授权
我司产品支持对包括PPP、SLIP等网络连接进行Network(网络)授权,这些网络连接通
过Network授权,可以获得诸如流量、带宽、超时等服务配置。Network授权支持通过RADIUS和TACACS+协议进行,服务器下发的授权信息封装在RADIUS或TACACS+属性里,针对不同的网络连接应用,服务器下发的授权信息可能不相同。
?注意
目前该配置不支持802.1X的AAA 授权,802.1X通过另外的命令完成,具体参见“802.1X配置”。
要配置AAA Network授权,在全局配置模式下执行以下命令: Step 1 Step 2
configure terminal aaa new-model 命令 进入全局配置模式 启用AAA。 作用 Step 3
aaa authorization network {default | list-name} method1 [method2...] 定义一个授权方法列表,如果需要定义多个方法列表,重复执行该命令。 关键字list-name用来命名创建授权方法列表,可以是任何字符串;关键字method指的是
授权实际算法。仅当前面的方法返回ERROR(无应答),才使用后面的其他授权方法;如果前面的方法返回FAIL(失败),则不使用其他授权方法。为了使授权最后能成功返回,即使所有指定方法都没有应答,可以在命令行中将none指定为最后一个授权方法。
44.4.5.1使用RADIUS进行Network授权
要配置用RADIUS服务器进行Network授权,首先要配置RADIUS服务器,有关RADIUS
服务器配置的信息,请参见“配置RADIUS”。 配置好RADIUS服务器后,就可以配置基于RADIUS服务器的方法列表了,在全局配置模
式下执行以下命令: Step 1 Step 2 Step 3
configure terminal aaa new-model aaa authorization network {default | list-name} group radius 命令 进入全局配置模式 打开AAA开关 定义使用RADIUS授权方法。 作用 44.4.5.2配置Network授权示例
下例演示如何进行网络授权。
Ruijie# configure terminal Ruijie(config)# aaa new-model
Ruijie(config)# radius-server host 192.168.217.64 Ruijie(config)# radius-server key test Ruijie(config)# aaa authorization network test group radius none Ruijie(config)# end
Ruijie# show running-config aaa new-model !
aaa authorization network test group radius none !
radius-server host 192.168.217.64 radius-server key 7 093b100133 !
44.5 配置记账