怎样通过AAA实现用户级的授权

1、配置文件：

 

version 12.1

 

!

 

hostname Router

 

!

 

aaa new-model

 

aaa authentication login myaaa group local！配置授权

 

aaa authorization exec myauth group local！配置认证

 

!

 

username user10 privilege 10 password 0 user10！给用户分配级别

 

!

 

!

 

privilege exec level 10 ping！给命令分配级别

 

privilege exec level 10 show frame-relay

 

privilege exec level 10 traceroute

 

!

 

line con 0

 

transport input none

 

line aux 0

 

line vty 0 4

 

authorization exec myauth！选择TELNET的授权方式

 

login authentication myaaa！选择TELNET的认证方式

 

!

 

no scheduler allocate

 

end

2、实验结果：用户user10登录后级别是10，可以执行PING，SHOW FRAME-RELAY，TRACEROUTE命令。更高级别的用户才可执行其它的命令。另外通过仔细配置privilege命令，可以进一步细分命令权限。如：可以SHOW FRAME-RELAY不可以SHOW X25。

 

aaa的配制命令随IOS版本不同略有差异，在12.0.5以上的版本，用aaa authentication login myaaa group tacacs+ local命令，在12.0.5以下的版本用aaa authentication login myaaa tacacs+ local

 

可以用PRIVILEGE命令调整命令级别。不过容易出错。在测试过程中，发现如果将一条命令调级，其相应的子命令也自动调整到相映的级别。如：调整show ip route的级别后，show ip ,show的级别也自动调整，很容易出错。另外，可能是IOS BUG的原因，一些PRIVILEGE命令虽然起作用了，但在show run时却没有显示出来。

 

测试说明，用local的方法，可以实现用户级的命令权限的设定，优点是不用配置复杂的TACACS+服务器，成本低。缺点是需要在每一台设备上单独配置，工作量大，不易集中管理，而且在某些版本的IOS中有BUG，容易出错。

3、用TACSCS+进行验证和授权

 

version 12.1

 

!

 

hostname Router

 

!

 

aaa new-model

 

aaa authentication login myaaa group tacacs+

 

aaa authorization exec myauth group tacacs+

 

!

 

!

 

line con 0

 

transport input none

 

line aux 0

 

line vty 0 4

 

authorization exec myauth

 

login authentication myaaa

 

!

 

no scheduler allocate

 

end

4、实验结果：通过TACACS+可以非常灵活地对AAA进行设定，完成复杂的策略。除了在local实现功能外，还可以快速的对大量用户进行用户级或组一级的设置和管理。提供报表功能，时间策略等。TACACS+设置很容易掌握，WEB控制界面很友好。缺点是需要购买ACS服务器