一、 组网需求
为Login用户配置命令授权,在用户通过终端登录设备后,仅允许使用授权范围内的命令。
二、组网图
三、 配置要点
● 在设备上开启AAA安全服务。
● 在设备上配置TACACS+服务器的IP地址和共享密钥。
●在设备上配置Login认证方法列表和命令授权方法列表。
● 在TACACS+服务器配置认证用户及授权命令范围。
●在特定线路上应用认证方法和授权方法。
四、 配置步骤
(1) 在TACACS+服务器上添加Login用户,配置授权命令范围,配置为设备提供AAA服务。(配置略。关于
TACACS+服务器的配置,请参见对应服务器的使用手册)。
(2) 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model
(3) 配置TACACS+服务器的IP地址和共享秘钥(此处设IP地址为10.110.1.2,共享密钥为sharekey)。
Device(config)# tacacs-server host 10.110.1.2 key sharekey
(4) 配置Login认证方法列表login-method,优先使用TACACS+服务器认证,其次使用本地认证。
Device(config)# aaa authentication login login-method group tacacs+ local
(5) 在本地用户数据库中添加账号host1,并配置账号权限。
Device(config)# username host1 privilege 15 password password1
(6) 为15级命令配置命令授权方法列表command-method,优先使用TACACS+服务器授权,其次使用本地授
权。
Device(config)# aaa authorization commands 15 command group tacacs+ local
(7) 将认证方法列表和授权方法列表应用到终端线路上。
Device(config)# line vty 0 35
Device(config-line)# login authentication login-method
Device(config-line)# authorization exec command-method
五、常见错误
● TACACS+服务器和设备配置的共享密钥不一致。
●TACACS+服务器上命令授权配置错误。