AAA 半径权限级别

网络工程 啊啊啊
2022-02-24 23:27:20

我已经设置了一个 Windows 2012 Server R2 Radius 服务器来与 CISCO IOS 设备通信。

有两类用户:只读权限(shell:priv-lvl=1)和读/写权限(shell:priv-lvl=15)。

GNS3 上的路由器配置很简单:

aaa authentication login VTY group RAD1 local
aaa authorization exec AUTH_VTY group RAD1 local if-authenticated

line vty 0 20
 login authentication VTY
 authorization exec AUTH_VTY

所以,我的目标是只读用户允许只读,读/写用户允许做所有事情。

但情况不同。(shell:priv-lvl=15) 的用户应该进入特权模式。并且具有 (shell:priv-lvl=1) 的用户进入操作模式 (>) 并在输入“启用”后进入特权模式。

这是特权 1 的正常行为 - 能够启用吗?也许我的问题只是创建启用密码,对于具有特权 lvl 1 的用户来说这是未知的?

还有第二个问题:

是否需要 if-authenticated 命令?无法弄清楚这一点。

谢谢

编辑:

配置在这里:

aaa authorization exec AUTH_VTY group RAD1 local if-authenticated
aaa authorization console
aaa authentication login VTY group RAD1 local
username labas privilege 15 password 0 labas

line vty 0 20
login authentication VTY
authorization exec AUTH_VTY

line con 0
login authentication VTY
authorization exec AUTH_VTY

aaa group server radius RAD1
 server-private 10.1.1.1 auth-port 1645 acct-port 1646 key 7 13171616021917

enable secret labas

在配置中添加了“if auth”,但它的工作方式与没有关键字完全相同。

1个回答

“启用”命令是 1 级命令。如果您不希望您的用户执行它,最简单的方法是不给他们密码。

或者,您可以配置命令授权,但这要复杂得多,尤其是使用 RADIUS。

if-authenticated 命令与授权一起使用。它绕过了授权检查。如果 AAA 服务器不可用,它通常用作备份。

其它你可能感兴趣的问题
上一篇c5915 DMVPN Spoke ISP 故障转移 - 单集线器 下一篇两个分支机构如何在 PTCL 的相同基础设施下使用不同的公共 IP 进行通信?