任何人都可以帮助我了解有关 Cisco IOS 上的 AAA 授权的一件事。这是一个配置片段:
aaa authorization config-commands
aaa authorization exec default group tacacs+ local
aaa authorization commands 1 default group tacacs+
aaa authorization commands 15 default group tacacs+ local
我是否正确理解授权允许某些用户使用某些命令(如“命令 15”)(如“group tacacs+”)?那么为什么配置命令没有选项“组”呢?
来自CCO 文档
如果启用了 aaa 授权命令级别方法命令,则 AAA 使用指定的方法授权所有命令,包括配置命令。因为有些配置命令与某些 EXEC 级别的命令相同,所以在授权过程中可能会出现一些混乱。使用 no aaa authorization config-commands 命令阻止网络访问服务器尝试配置命令授权。
我从来没有真正想到过,但是你建议的方式比它的工作方式更有意义。现在它只是继承了它应该从“命令级别”查询的服务器,并且文档不清楚是哪个级别,因为它们可能不同,但我想应该是级别 15。
示例配置中的最后一行要求通过 tacacs+ 授权 15 级命令,或者如果 tacacs+ 不可用,则使用本地数据库。前一行仅需要通过 tacacs+ 获得 1 级命令的授权。
它与指定用户组无关。