8.1 Настройка аутентификации, авторизации и учета

aaa accounting

Синтаксис команды

aaa accounting { console | telnet | ssh } tacacs { commands priv_lvl | exec }
no aaa accounting { console | telnet | ssh }

Описание синтаксиса

Параметр	Описание
console	учет доступа через CLI.
telnet	учет доступа через telnet.
ssh	учет доступа через ssh. commands priv_lvl — учет (журналирование) команд с уровнем привилегий level в диапазоне от 0 до 15.
exec	учет доступа в интерфейс управления.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «aaa accounting» для включения учета. Используйте команду «no aaa accounting» для отключения учета. По умолчанию учет отключен.

Примеры

Пример показывает, как включить учет команд SSH на серверах TACACS+ с уровнем привилегий 15:

# configure terminal
(config)# aaa accounting ssh tacacs commands 15
(config)#

aaa authentication login

Синтаксис команды

aaa authentication login { console | telnet | ssh | http } method1 [ method2...]
no aaa authentication login { console | telnet | ssh | http }

Описание синтаксиса

Параметр	Описание
console	аутентификация доступа через консоль.
telnet	аутентификация доступа через Telnet.
ssh	аутентификация доступа через SSH.
http	аутентификация доступа через HTTP. method1 [ method2... ] — cписок методов аутентификации пользователя из следующих вариантов (каждый вариант может быть задан только один раз): • local – локальная база учетных записей пользователей. • radius – аутентификация на сервере RADIUS. • tacacs – аутентификация на сервере TACACS+.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «aaa authentication login» для установки порядка методов аутентификации пользователя. Используйте команду «no aaa authentication login» для установки значения по умолчанию. По умолчанию установлена аутентификация с помощью локальной базы учетных записей пользователей. Каждый последующий метод аутентификации в списке задействуется, только если предыдущий метод не может быть использован. Например, если задать порядок «radius local», то локальная база задействуется, только если все серверы RADIUS недоступны или список RADIUS-серверов пустой. Локальная база всегда доступна, поэтому не имеет смысла задавать другие методы после «local».

Примеры

Пример показывает, как установить порядок аутентификации SSH на серверах RADIUS с возможностью локальной аутентификации при отказе серверов RADIUS:

# configure terminal
(config)# aaa authentication login ssh radius local
(config)#

aaa authorization

Синтаксис команды

aaa authorization { console | telnet | ssh } tacacs commands priv_lvl [config-commands]
no aaa authorization {console | telnet | ssh}

Описание синтаксиса

Параметр	Описание
console	авторизация доступа через CLI.
telnet	авторизация доступа через Telnet.
ssh	авторизация доступа через SSH. commands priv_lvl — авторизация команд с уровнем привилегий level в диапазоне от 0 до 15.
config-commands	(oпционально) авторизация команд конфигурации.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «aaa authorization» для установки порядка методов авторизации пользователя. Используйте команду «no aaa authorization» для отключения авторизации. По умолчанию авторизация доступа отключена.

Примеры

Пример показывает, как включить авторизацию команд на серверах TACACS+ с уровнем привилегий 15 для доступа по SSH:

# configure terminal
(config)# aaa authorization ssh tacacs commands 15
(config)#

show aaa

Синтаксис команды

show aaa

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Фундаментальный режим.
Уровень доступа: 15

Указания по применению

Используйте команду «show aaa» для вывода настроек аутентификации, авторизации и учета.

Примеры

Пример показывает, как вывести настройки аутентификации, авторизации и учета:

# show aaa
Authentication :
console : local
telnet  : local
ssh     : radius local
http    : local
Authorization :
console : no, commands disabled
telnet  : no, commands disabled
ssh     : tacacs, commands 15 enabled, config-commands disabled
Accounting :
console : no, commands disabled, exec disabled
telnet  : no, commands disabled, exec disabled
ssh     : tacacs, commands 15 enabled, exec disabled
#