一、 组网需求
若需要对登录设备的用户进行权限控制,可以使用Login本地认证结合Exec本地授权实现。该方法只需在设备的
本地用户数据库中配置账号及其权限等信息,不必借助认证服务器即可实现用户权限控制
二、组网图
三、 配置要点
●在设备上开启AAA安全服务。
●在设备的本地用户数据库中添加账号。
●创建认证方法列表和授权方法列表。
●在特定线路上应用认证方法和授权方法。
四、 配置步骤
# 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model
# 在本地用户数据库中添加账号host1和host2,并配置账号权限。
Device(config)# username host1 privilege 15 password password1
Device(config)# username host2 privilege 4 password password2
# 创建Login认证方法列表login-method,认证方法为本地认证;创建Exec授权方法列表exec-method,授权方法
为本地授权。
Device(config)# aaa authentication login login-method local
Device(config)# aaa authorization exec exec-method local
# 将认证方法列表和授权方法列表应用到终端线路上。
Device(config)# line vty 0 35
Device(config-line)# login authentication login-method
Device(config-line)# authorization exec exec-method
五、验证配置结果
# 在Device上使用show aaa method-list命令查看配置的方法列表。
Device# show aaa method-list
# 使用客户端软件(PuTTY、Xshell等)Telnet登录到设备上,不同的用户拥有不同的账户权限。
●使用账号host1能登录设备,查看其用户权限等级为15。
●使用账号host2能登录设备,查看其用户权限等级为4。
六、配置文件
!
username host1 privilege 15 password password1
username host2 privilege 4 password password2
!
aaa new-model
!
aaa authorization exec exec-method local
aaa authentication login login-method local
!
line vty 0 35
authorization exec exec-method
login authentication login-method
!
end
七、常见错误
●未在特定线路应用认证方法列表和授权方法列表。
● 未在本地用户数据库中配置账号信息。