aaa配置Word下载.docx

aaa配置Word下载.docx

《aaa配置Word下载.docx》由会员分享，可在线阅读，更多相关《aaa配置Word下载.docx（29页珍藏版）》请在冰豆网上搜索。

描述

local

使用本地用户名数据库进行认证

none

不进行认证

group

使用服务器组进行认证，目前支持RADIUS和TACACS+服务器组

【缺省情况】

无

【命令模式】

全局配置模式。

【使用指南】

如果设备启用AAAEnable认证服务，用户就必须使用AAA进行Enable认证协商。

您必须使用aaaauthenticationenable命令配置默认的方法列表用于Enable认证。

只有前面的方法没有反应，才能使用后面的方法进行身份认证。

Enable认证方法列表配置以后，Enable认证功能自动生效。

【举例】

下面的示例定义AAAEnable身份认证方法列表。

该认证方法列表先使用RADIUS安全服务器进行身份认证，如果在一定时限内没有收到RADIUS安全服务器的应答，则使用本地用户数据库进行身份认证。

Ruijie（config）#aaaauthenticationenabledefaultgroupradiuslocal

【相关命令】

命令

说明

aaanew-model

使用AAA安全服务

enable

切换用户级别

username

定义本地用户数据库

46.1.2 

要使用AAA进行Login（登录）认证，请执行全局配置命令aaaauthenticationlogin配置Login认证的方法列表。

aaaauthenticationlogin{default|list-name}method1[method2...]

noaaaauthenticationlogin{default|list-name}

使用该参数，则后面定义的方法列表作为Login认证的默认方法。

list-name：

定义一个Login认证的方法列表，可以是任何字符串。

使用本地用户名数据库进行身份认证

不进行身份认证

使用服务器组进行身份认证，目前支持RADIUS和TACACS+服务器组

如果设备启用AAA登录认证安全服务，用户就必须使用AAA进行Login认证协商。

您必须使用aaaauthenticationlogin命令配置默认的或可选的方法列表用于Login认证。

设置了Login认证方法后，必须将其应用在需要进行Login认证的终端线路上，否则将不生效。

下面的示例定义一个名为list-1的AAALogin认证方法列表。

该认证方法列表先使用RADIUS安全服务器进行认证，如果RADIUS安全服务器没有反应，则使用本地用户数据库进行认证。

Ruijie（config）#aaaauthenticationloginlist-1groupradiuslocal

loginauthentication

在终端线路上应用Login认证

46.1.3 

要使用AAA进行PPP用户认证，请执行全局配置命令aaaauthenticationppp配置PPP用户认证的方法列表。

aaaauthenticationppp{default|list-name}method1[method2...]

noaaaauthenticationppp{default|list-name}

使用该参数，则后面定义的方法列表作为PPP用户认证的默认方法。

定义一个PPP用户认证的方法列表，可以是任何字符串。

使用服务器组进行认证，目前支持RADIUS服务器组

如果设备启用AAAPPP安全服务，用户就必须使用AAA进行PPP用户认证协商。

您必须使用aaaauthenticationppp命令配置默认的或可选的方法列表用于PPP用户认证。

只有前面的方法没有反应，才能使用后面的方法进行认证。

下面的示例定义一个名为rds_ppp的AAAPPP认证方法列表。

Ruijie（config）#aaaauthenticationppprds_pppgroupradiuslocal

pppauthentication

PPP协议关联特定方法列表

46.1.4 

要在指定的终端线路上应用Login（登录）认证功能，请在线路配置模式下执行loginauthentication命令应用Login认证的方法列表。

该命令的no形式删除认证的方法列表在该线路上的应用。

loginauthentication{default|list-name}

nologinauthentication

使用该参数，应用Login认证的默认方法列表。

应用一个已定义的Login认证的方法列表。

线路配置模式。

默认的Login认证方法列表一旦配置，将自动应用到所有终端上。

在线路上应用非默认Login认证方法列表，将取代默认的方法列表。

如果试图应用未定义的方法列表，则会给出一个警告提示信息，该线路上的Login认证将不会生效，直至定义了该Login认证方法列表才会生效。

该认证方法列表使用本地用户数据库进行认证。

然后将该方法应用在VTY0-4上。

Ruijie（config）#aaaauthenticationloginlist-1local

Ruijie（config）#linevty04

Ruijie（config-line）#loginauthenticationlist-1

配置Login认证方法列表

46.2 

授权相关命令

aaaauthorizationcommands

aaaauthorizationconfig-commands

aaaauthorizationconsole

aaaauthorizationexec

aaaauthorizationnetwork

authorizationcommands

authorizationexec

46.2.1 

对于已登录到NAS的CLI界面上的用户，要使用要AAA命令授权功能对用户执行的命令进行授权，允许或禁止某个用户执行具体的命令。

请执行全局配置命令aaaauthorizationcommands。

该命令的no形式关闭AAA命令授权功能。

aaaauthorizationcommandslevel{default|list-name}method1[method2...]

noaaaauthorizationcommandslevel{default|list-name}

level：

要进行授权的命令级别，范围0~15，决定哪个级别的命令需要授权通过后才能执行。

使用该参数，则后面定义的方法列表作为命令授权的默认方法。

定义一个命令授权的方法列表，可以是任何字符串。

不进行授权

使用服务器组进行授权，目前支持TACACS+服务器组

关闭AAA命令授权功能。

网络设备支持对用户可执行的命令进行授权，当用户输入并试图执行某条命令时，AAA将该命令发送到安全服务器上，如果安全服务器允许执行该命令，则该命令被执行，否则该命令不执行，并会给出执行命令被拒绝的提示。

配置命令授权的时候需要指定命令的级别，这个级别是命令的默认级别（例如，某命令对于14级以上用户可见，则该命令的默认级别就是14级的）。

配置了命令授权方法后，必须将其应用在需要进行命令授权的终端线路上，否则将不生效。

下面的示例使用TACACS+服务器对15级命令进行授权：

Ruijie（config）#aaaauthorizationcommands15defaultgrouptacacs+

使能AAA安全服务

authorizationcommands

在终端线路上应用命令授权

46.2.2 

要使用AAA对配置模式（包括全局配置模式及其子模式）下的命令进行授权，执行全局配置命令aaaauthorizationconfig-commands。

该命令的no形式关闭AAA对配置模式下的命令的授权功能。

aaaauthorizationconfig-commands

noaaaauthorizationconfig-commands

该命令没有参数或关键字。

默认不对配置模式下命令的进行授权。

如果只对非配置模式（如特权模式）下的命令进行授权，可以使用该命令的no模式关闭配置模式的授权功能，则配置模式及其子模式下的命令不需要进行命令授权就可以执行。

下面的示例打开对配置模式下命令的授权功能：

Ruijie（config）#aaaauthorizationconfig-commands

aaaauthorizationcommands

定义AAA命令授权

46.2.3 

要使用AAA对通过控制台登录的用户，所执行的命令进行授权，执行全局配置命令aaaauthorizationconsole。

该命令的no形式关闭AAA对对通过控制台登录的用户所执行命令的授权功能。

aaaauthorizationconsole

noaaaauthorizationconsole

默认不对控制台用户执行的命令进行授权。

网络设备支持区分通过控制台登录和其他终端登录的用户，可以设置控制台登录的用户，是否需要进行命令授权。

如果关闭了控制台的命令授权功能，则已经应用到控制台线路的命令授权方法列表将不生效。

下面的示例配置控制台登录用户的命令授权功能：

Ruijie（config）#aaaauthorizationconsole

46.2.4 

要使用AAA对登录到NAS的CLI界面的用户进行Exec授权，赋予其权限级别，执行全局配置命令aaaauthorizationexec。

该命令的no形式关闭AAAExec的授权功能。

aaaauthorizationexec{default|list-name}method1[method2...]

noaaaauthorizationexec{default|list-name}

使用该参数，则后面定义的方法列表作为Exec授权的默认方法。

定义一个Exec授权的方法列表，可以是任何字符串。

使用本地用户名数据库进行授权

使用服务器组进行授权，目前支持RADIUS和TACACS+服务器组

关闭AAAExec授权功能。

网络设备支持对登录到NAS的CLI界面的用户进行授权，赋予其CLI权限级别（0~15级）。

目前是对于通过了Login认证的用户，才进行Exec授权。

如果Exec授权失败，则无法进入CLI界面。

配置了Exec授权方法后，必须将其应用在需要进行Exec授权的终端线路上，否则将不生效。

下面的示例使用RADIUS服务器进行Exec授权：

Ruijie（config）#aaaauthorizationexecdefaultgroupradius

authorizationexec

在终端线路上应用授权

46.2.5 

要使用AAA对访问网络用户的服务请求（包括PPP、SLIP等协议）进行授权，执行全局配置命令aaaauthorizationnetwork。

该命令的no形式关闭AAA的授权功能。

aaaauthorizationnetwork{default|list-name}method1[method2...]

noaaaauthorizationnetwork{default|list-name}

使用该参数，则后面定义的方法列表作为Network授权的默认方法。

不进行网络授权

使用服务器组进行授权，目前支持RADIUS服务器组

关闭AAANetwork授权功能。

网络设备支持对所有网络有关的服务请求如PPP、SLIP等协议进行授权。

如果配置了授权，则对所有的认证用户或接口自动进行授权。

可以指定三种不同的授权方法，与身份认证一样，只有当前的授权方法没有反应，才能继续使用后面的方法进行授权，如果当前授权方法失败，则不再使用其他后继的授权方法。

RADIUS服务器是通过返回一系列的属性对来完成对认证用户的授权。

所以RADIUS授权是建立在RADIUS认证的基础上的，只有RADIUS认证通过了才有可能获取RADIUS授权。

下面的示例使用RADIUS服务器对网络服务进行授权：

Ruijie（config）#aaaauthorizationnetworkdefaultgroupradius

aaaaccounting

定义AAA记账

aaaauthentication

定义AAA身份认证

46.2.6 

要将命令授权列表应用在指定终端线路上，执行线路配置模式命令authorizationcommands。

该命令的no形式取消线路上命令授权功能。

authorizationcommandslevel{default|list-name}

noauthorizationcommandslevel

使用该参数，应用命令授权的默认方法。

应用一个已定义的命令授权的方法列表。

未配置AAA命令授权功能。

默认的命令授权方法列表一旦配置，将自动应用到所有终端上。

在线路上应用非默认命令授权方法列表，将取代默认的方法列表。

如果试图应用未定义的方法列表，则会给出一个警告提示信息，该线路上的命令授权将不会生效，直至定义了该命令授权方法列表才会生效。

下面的示例配置一个名为cmd的命令授权列表，针对15级命令进行授权，使用TACACS+作为安全服务器，如果服务器没有响应将采用none方法。

配置后应用到VTY0–4线路上：

Ruijie（config）#aaaauthorizationcommands15cmdgrouptacacs+none

Ruijie（config-line）#authorizationcommands15cmd

定义AAA命令授权方法列表

46.2.7 

要将Exec授权列表应用在指定终端线路上，执行线路配置模式命令authorizationexec。

该命令的no形式取消线路上Exec授权功能。

authorizationexec{default|list-name}

noauthorizationexec

使用该参数，应用Exec授权的默认方法。

应用一个已定义的Exec授权的方法列表。

未配置AAAExec授权功能。

默认的Exec授权方法列表一旦配置，将自动应用到所有终端上。

在线路上应用非默认Exec授权方法列表，将取代默认的方法列表。

如果试图应用未定义的方法列表，则会给出一个警告提示信息，该线路上的Exec授权将不会生效，直至定义了该Exec授权方法列表才会生效。

下面的示例配置一个名为exec-1的Exec授权列表，使用RADIUS作为安全服务器，如果服务器没有响应将采用none方法。

Ruijie（config）#aaaauthorizationexecexec-1groupradiusnone

Ruijie（config-line）#authorizationexecexec-1

定义AAAExec授权方法列表

46.3 

记账相关命令

网络设备目前支持使用RADIUS进行网络记账，包括以下相关命令：

aaaaccountingcommands

aaaaccountingexec

aaaaccountingnetwork

aaaaccountingupdate

aaaaccountingupdateperiodic

accountingcommands

accountingexec

46.3.1 

出于管理用户活动，需要对登录到NAS上的用户所执行的命令活动进行记账，请执行全局配置命令aaaaccountingcommands。

该命令的no形式取消命令记账功能。

aaaaccountingcommandslevel{default|list-name}start-stopmethod1[method2...]

noaaaaccountingcommandslevel{default|list-name}

要进行记账的命令级别，范围0~15，决定哪个级别的命令执行时，需要记录信息。

使用该参数，则后面定义的方法列表作为命令记账的默认方法。

定义一个命令记账的方法列表，可以是任何字