Главная страница
Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
|
Authorization
Проверка прав доступа (полномочий) производится в случаях:
- exec (атрибуты терминальной сессии)
- command (проверка прав на исполнение команд, в т.ч. конфигурации)
- network (соединение PPP, SLIP, ARAP)
- reverse access (для обратного telnet, установление личности потребуется в любом случае), только tacacs+ или radius
Для определения полномочий определяется список методов определения полномочий и применяется к определенному интерфейсу. Так же как и в случае с аутентификацией, список по имени default применяется к интерфейсу по умолчанию. Прежде, чем конфигурировать авторизацию, необходимо включить AAA на NAS и сконфигурировать аутентификацию, TACACS+, локальную БД пользователей и/или RADIUS сервера.
Методы проверки полномочий
- tacacs+ - использовать сервер TACACS+ для получения AV пар с полномочиями
- if-authenticated - все аутентифицированные пользователи получают полномочия
- none - полномочия не проверяются
- local - используется локальная BD, определяемая командами username (только небольшая часть возможностей доступна)
- radius
- kerberos instance map
Конфигурация именованного списка методов авторизации aaa authorization [ network | exec | command level | reverse-access ] [ имя | default ]{ tacacs+ | if-authenticated | none | local | radius | krb5-instance }
Для аутентифицированных пользователей, зашедших с консольной линии, авторизация не производится.
Привязка поименованного списка методов к линии или интерфейсу (в соответствующем режиме конфигурации): authorization { arap | commands level | exec | reverse-access } { default | list-name } или (одновременно определяется список методов авторизации для SLIP) ppp authorization { default | list-name }
Запретить авторизацию команд конфигурации: no aaa authorization config-command
Примеры: ═ ═ aaa authorization exec default tacacs+ if-authenticated # проверяем права на запуск EXEC (shell так у киски называется) с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена - только благодаря этой строчке tacacs+ сервер возвращает автокоманду (в нашем случае telnet или ppp) ═ ═ aaa authorization commands 1 default tacacs+ if-authenticated # проверяем права на исполнение команд уровня 1 (непривилегированных) с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена ═ ═ aaa authorization commands 15 default tacacs+ if-authenticated # проверяем права на исполнение команд уровня 15 (привилегированных) с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена ═ ═ aaa authorization network default tacacs+ if-authenticated # проверка прав, если кто-то лезет к нам по сети, с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена
Пример авторизации обратного telnet-a (raccess {} обеспечивает доступ к любому порту, если raccess вообще нет, то и доступа не будет)═: aaa authorization reverse-access tacacs+
часть конфигурационного файла для tac_plus (внутри описания соответствующего пользователя или группы) service = raccess { port#1 = cat1/tty2 port#2 = cat2/tty5 }
|