aaa配置Word下载.docx
《aaa配置Word下载.docx》由会员分享,可在线阅读,更多相关《aaa配置Word下载.docx(29页珍藏版)》请在冰豆网上搜索。
描述
local
使用本地用户名数据库进行认证
none
不进行认证
group
使用服务器组进行认证,目前支持RADIUS和TACACS+服务器组
【缺省情况】
无
【命令模式】
全局配置模式。
【使用指南】
如果设备启用AAAEnable认证服务,用户就必须使用AAA进行Enable认证协商。
您必须使用aaaauthenticationenable命令配置默认的方法列表用于Enable认证。
只有前面的方法没有反应,才能使用后面的方法进行身份认证。
Enable认证方法列表配置以后,Enable认证功能自动生效。
【举例】
下面的示例定义AAAEnable身份认证方法列表。
该认证方法列表先使用RADIUS安全服务器进行身份认证,如果在一定时限内没有收到RADIUS安全服务器的应答,则使用本地用户数据库进行身份认证。
Ruijie(config)#aaaauthenticationenabledefaultgroupradiuslocal
【相关命令】
命令
说明
aaanew-model
使用AAA安全服务
enable
切换用户级别
username
定义本地用户数据库
46.1.2
要使用AAA进行Login(登录)认证,请执行全局配置命令aaaauthenticationlogin配置Login认证的方法列表。
aaaauthenticationlogin{default|list-name}method1[method2...]
noaaaauthenticationlogin{default|list-name}
使用该参数,则后面定义的方法列表作为Login认证的默认方法。
list-name:
定义一个Login认证的方法列表,可以是任何字符串。
使用本地用户名数据库进行身份认证
不进行身份认证
使用服务器组进行身份认证,目前支持RADIUS和TACACS+服务器组
如果设备启用AAA登录认证安全服务,用户就必须使用AAA进行Login认证协商。
您必须使用aaaauthenticationlogin命令配置默认的或可选的方法列表用于Login认证。
设置了Login认证方法后,必须将其应用在需要进行Login认证的终端线路上,否则将不生效。
下面的示例定义一个名为list-1的AAALogin认证方法列表。
该认证方法列表先使用RADIUS安全服务器进行认证,如果RADIUS安全服务器没有反应,则使用本地用户数据库进行认证。
Ruijie(config)#aaaauthenticationloginlist-1groupradiuslocal
loginauthentication
在终端线路上应用Login认证
46.1.3
要使用AAA进行PPP用户认证,请执行全局配置命令aaaauthenticationppp配置PPP用户认证的方法列表。
aaaauthenticationppp{default|list-name}method1[method2...]
noaaaauthenticationppp{default|list-name}
使用该参数,则后面定义的方法列表作为PPP用户认证的默认方法。
定义一个PPP用户认证的方法列表,可以是任何字符串。
使用服务器组进行认证,目前支持RADIUS服务器组
如果设备启用AAAPPP安全服务,用户就必须使用AAA进行PPP用户认证协商。
您必须使用aaaauthenticationppp命令配置默认的或可选的方法列表用于PPP用户认证。
只有前面的方法没有反应,才能使用后面的方法进行认证。
下面的示例定义一个名为rds_ppp的AAAPPP认证方法列表。
Ruijie(config)#aaaauthenticationppprds_pppgroupradiuslocal
pppauthentication
PPP协议关联特定方法列表
46.1.4
要在指定的终端线路上应用Login(登录)认证功能,请在线路配置模式下执行loginauthentication命令应用Login认证的方法列表。
该命令的no形式删除认证的方法列表在该线路上的应用。
loginauthentication{default|list-name}
nologinauthentication
使用该参数,应用Login认证的默认方法列表。
应用一个已定义的Login认证的方法列表。
线路配置模式。
默认的Login认证方法列表一旦配置,将自动应用到所有终端上。
在线路上应用非默认Login认证方法列表,将取代默认的方法列表。
如果试图应用未定义的方法列表,则会给出一个警告提示信息,该线路上的Login认证将不会生效,直至定义了该Login认证方法列表才会生效。
该认证方法列表使用本地用户数据库进行认证。
然后将该方法应用在VTY0-4上。
Ruijie(config)#aaaauthenticationloginlist-1local
Ruijie(config)#linevty04
Ruijie(config-line)#loginauthenticationlist-1
配置Login认证方法列表
46.2
授权相关命令
aaaauthorizationcommands
aaaauthorizationconfig-commands
aaaauthorizationconsole
aaaauthorizationexec
aaaauthorizationnetwork
authorizationcommands
authorizationexec
46.2.1
对于已登录到NAS的CLI界面上的用户,要使用要AAA命令授权功能对用户执行的命令进行授权,允许或禁止某个用户执行具体的命令。
请执行全局配置命令aaaauthorizationcommands。
该命令的no形式关闭AAA命令授权功能。
aaaauthorizationcommandslevel{default|list-name}method1[method2...]
noaaaauthorizationcommandslevel{default|list-name}
level:
要进行授权的命令级别,范围0~15,决定哪个级别的命令需要授权通过后才能执行。
使用该参数,则后面定义的方法列表作为命令授权的默认方法。
定义一个命令授权的方法列表,可以是任何字符串。
不进行授权
使用服务器组进行授权,目前支持TACACS+服务器组
关闭AAA命令授权功能。
网络设备支持对用户可执行的命令进行授权,当用户输入并试图执行某条命令时,AAA将该命令发送到安全服务器上,如果安全服务器允许执行该命令,则该命令被执行,否则该命令不执行,并会给出执行命令被拒绝的提示。
配置命令授权的时候需要指定命令的级别,这个级别是命令的默认级别(例如,某命令对于14级以上用户可见,则该命令的默认级别就是14级的)。
配置了命令授权方法后,必须将其应用在需要进行命令授权的终端线路上,否则将不生效。
下面的示例使用TACACS+服务器对15级命令进行授权:
Ruijie(config)#aaaauthorizationcommands15defaultgrouptacacs+
使能AAA安全服务
authorizationcommands
在终端线路上应用命令授权
46.2.2
要使用AAA对配置模式(包括全局配置模式及其子模式)下的命令进行授权,执行全局配置命令aaaauthorizationconfig-commands。
该命令的no形式关闭AAA对配置模式下的命令的授权功能。
aaaauthorizationconfig-commands
noaaaauthorizationconfig-commands
该命令没有参数或关键字。
默认不对配置模式下命令的进行授权。
如果只对非配置模式(如特权模式)下的命令进行授权,可以使用该命令的no模式关闭配置模式的授权功能,则配置模式及其子模式下的命令不需要进行命令授权就可以执行。
下面的示例打开对配置模式下命令的授权功能:
Ruijie(config)#aaaauthorizationconfig-commands
aaaauthorizationcommands
定义AAA命令授权
46.2.3
要使用AAA对通过控制台登录的用户,所执行的命令进行授权,执行全局配置命令aaaauthorizationconsole。
该命令的no形式关闭AAA对对通过控制台登录的用户所执行命令的授权功能。
aaaauthorizationconsole
noaaaauthorizationconsole
默认不对控制台用户执行的命令进行授权。
网络设备支持区分通过控制台登录和其他终端登录的用户,可以设置控制台登录的用户,是否需要进行命令授权。
如果关闭了控制台的命令授权功能,则已经应用到控制台线路的命令授权方法列表将不生效。
下面的示例配置控制台登录用户的命令授权功能:
Ruijie(config)#aaaauthorizationconsole
46.2.4
要使用AAA对登录到NAS的CLI界面的用户进行Exec授权,赋予其权限级别,执行全局配置命令aaaauthorizationexec。
该命令的no形式关闭AAAExec的授权功能。
aaaauthorizationexec{default|list-name}method1[method2...]
noaaaauthorizationexec{default|list-name}
使用该参数,则后面定义的方法列表作为Exec授权的默认方法。
定义一个Exec授权的方法列表,可以是任何字符串。
使用本地用户名数据库进行授权
使用服务器组进行授权,目前支持RADIUS和TACACS+服务器组
关闭AAAExec授权功能。
网络设备支持对登录到NAS的CLI界面的用户进行授权,赋予其CLI权限级别(0~15级)。
目前是对于通过了Login认证的用户,才进行Exec授权。
如果Exec授权失败,则无法进入CLI界面。
配置了Exec授权方法后,必须将其应用在需要进行Exec授权的终端线路上,否则将不生效。
下面的示例使用RADIUS服务器进行Exec授权:
Ruijie(config)#aaaauthorizationexecdefaultgroupradius
authorizationexec
在终端线路上应用授权
46.2.5
要使用AAA对访问网络用户的服务请求(包括PPP、SLIP等协议)进行授权,执行全局配置命令aaaauthorizationnetwork。
该命令的no形式关闭AAA的授权功能。
aaaauthorizationnetwork{default|list-name}method1[method2...]
noaaaauthorizationnetwork{default|list-name}
使用该参数,则后面定义的方法列表作为Network授权的默认方法。
不进行网络授权
使用服务器组进行授权,目前支持RADIUS服务器组
关闭AAANetwork授权功能。
网络设备支持对所有网络有关的服务请求如PPP、SLIP等协议进行授权。
如果配置了授权,则对所有的认证用户或接口自动进行授权。
可以指定三种不同的授权方法,与身份认证一样,只有当前的授权方法没有反应,才能继续使用后面的方法进行授权,如果当前授权方法失败,则不再使用其他后继的授权方法。
RADIUS服务器是通过返回一系列的属性对来完成对认证用户的授权。
所以RADIUS授权是建立在RADIUS认证的基础上的,只有RADIUS认证通过了才有可能获取RADIUS授权。
下面的示例使用RADIUS服务器对网络服务进行授权:
Ruijie(config)#aaaauthorizationnetworkdefaultgroupradius
aaaaccounting
定义AAA记账
aaaauthentication
定义AAA身份认证
46.2.6
要将命令授权列表应用在指定终端线路上,执行线路配置模式命令authorizationcommands。
该命令的no形式取消线路上命令授权功能。
authorizationcommandslevel{default|list-name}
noauthorizationcommandslevel
使用该参数,应用命令授权的默认方法。
应用一个已定义的命令授权的方法列表。
未配置AAA命令授权功能。
默认的命令授权方法列表一旦配置,将自动应用到所有终端上。
在线路上应用非默认命令授权方法列表,将取代默认的方法列表。
如果试图应用未定义的方法列表,则会给出一个警告提示信息,该线路上的命令授权将不会生效,直至定义了该命令授权方法列表才会生效。
下面的示例配置一个名为cmd的命令授权列表,针对15级命令进行授权,使用TACACS+作为安全服务器,如果服务器没有响应将采用none方法。
配置后应用到VTY0–4线路上:
Ruijie(config)#aaaauthorizationcommands15cmdgrouptacacs+none
Ruijie(config-line)#authorizationcommands15cmd
定义AAA命令授权方法列表
46.2.7
要将Exec授权列表应用在指定终端线路上,执行线路配置模式命令authorizationexec。
该命令的no形式取消线路上Exec授权功能。
authorizationexec{default|list-name}
noauthorizationexec
使用该参数,应用Exec授权的默认方法。
应用一个已定义的Exec授权的方法列表。
未配置AAAExec授权功能。
默认的Exec授权方法列表一旦配置,将自动应用到所有终端上。
在线路上应用非默认Exec授权方法列表,将取代默认的方法列表。
如果试图应用未定义的方法列表,则会给出一个警告提示信息,该线路上的Exec授权将不会生效,直至定义了该Exec授权方法列表才会生效。
下面的示例配置一个名为exec-1的Exec授权列表,使用RADIUS作为安全服务器,如果服务器没有响应将采用none方法。
Ruijie(config)#aaaauthorizationexecexec-1groupradiusnone
Ruijie(config-line)#authorizationexecexec-1
定义AAAExec授权方法列表
46.3
记账相关命令
网络设备目前支持使用RADIUS进行网络记账,包括以下相关命令:
aaaaccountingcommands
aaaaccountingexec
aaaaccountingnetwork
aaaaccountingupdate
aaaaccountingupdateperiodic
accountingcommands
accountingexec
46.3.1
出于管理用户活动,需要对登录到NAS上的用户所执行的命令活动进行记账,请执行全局配置命令aaaaccountingcommands。
该命令的no形式取消命令记账功能。
aaaaccountingcommandslevel{default|list-name}start-stopmethod1[method2...]
noaaaaccountingcommandslevel{default|list-name}
要进行记账的命令级别,范围0~15,决定哪个级别的命令执行时,需要记录信息。
使用该参数,则后面定义的方法列表作为命令记账的默认方法。
定义一个命令记账的方法列表,可以是任何字