我在具有 IOS 12.4(22)T 的 ISR 路由器中有以下非常简约的 AAA 配置:
aaa new-model
aaa authentication login default group tacacs+ enable
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+
aaa session-id common
身份验证后,我的权限级别为 15。现在,如果执行类似conf t或 的命令show ver,路由器不会与 TACACS+ 服务器协商(我在 TACACS+ 服务器 TCP 端口 49 上运行数据包捕获)。究竟是aaa authorization exec default group tacacs+做什么的?命令授权何时发生?
该声明
aaa authorization exec default group tacacs+
允许您启动 CLI 会话(命令外壳)。没有它,您将无法获得命令提示符。
编辑:来自:http : //www.cisco.com/c/en/us/td/docs/ios/sec_user_services/configuration/guide/15_0s/sec_securing_user_services_15_0S_book/sec_cfg_authorizatn.html#wp1058237
AAA 授权类型
Cisco IOS 软件支持五种不同类型的授权: •Auth-proxy——基于每个用户应用特定的安全策略。有关在哪里可以找到身份验证代理配置文档的更多信息,请参阅“相关文档”部分。
• 命令——适用于用户发出的 EXEC 模式命令。命令授权尝试授权与特定权限级别关联的所有 EXEC 模式命令,包括全局配置命令。
•EXEC—适用于与用户EXEC 终端会话相关联的属性。
•网络——适用于网络连接。这可以包括 PPP、SLIP 或 ARAP 连接。
•反向访问—适用于反向Telnet 会话。
•Configuration—适用于从AAA 服务器下载配置。
•IP 移动—适用于IP 移动服务的授权。
我认为混淆来自于不同 TACACS 守护进程的响应方式不同。Cisco ACS 的响应可能与您的 Shrubbery 守护程序或 tacacs.net 不同。
这里有一些更多的参考资料,虽然不完全是你所要求的: TACACS Attribute-Value Pairs
在我看来,该aaa authorization exec default group tacacs+命令强制 TACACS+ 客户端(在我的例子中是 Cisco ISR 路由器)考虑service = execTACACS+ 守护进程(tac_plus来自http://www.shrubbery.net/tac_plus/)配置文件中的配置片段。例如:
service = exec {
priv-lvl = 15
autocmd = "show version"
}
如果我删除aaa authorization exec default group tacacs+命令,我最终会以特权级别 1 进入 IOS shell,并且show version不会自动执行。但是,我想有一个权威的答案,这个命令还有其他用途吗?
aaa 授权 exec 默认组 tacacs+
https://www.ccexpert.us/cisco-secure/configuring-aaa-authorization.html
aaa 授权 {auth-proxy | 网络| 执行 | 命令级别 | 反向访问 | 配置| ipmobile} {默认 | 列表名称} [方法 1 [方法 2]]
AAA 授权通过允许或拒绝访问用户可以启动的网络访问类型(PPP、SLIP、ARAP)、用户可以执行的命令类型等来控制用户的活动。
■ exec - 适用于用户EXEC 终端会话。
■ default - 使用此参数后面列出的身份验证方法作为默认的授权方法列表。
■ list-name - 用于命名身份验证方法列表的字符串。
■ method - 至少指定后面的关键字之一。
■ group / group-name - 使用 aaa group server radius 或 aaa group server tacacs+ 命令定义的 RADIUS 或 TACACS+ 服务器的子集进行身份验证。