Authorization

Проверка прав доступа (полномочий) производится в случаях:

exec (атрибуты терминальной сессии)
command (проверка прав на исполнение команд, в т.ч. конфигурации)
network (соединение PPP, SLIP, ARAP)
reverse access (для обратного telnet, установление личности потребуется в любом случае), только tacacs+ или radius

Для определения полномочий определяется список методов определения полномочий и применяется к определенному интерфейсу. Так же как и в случае с аутентификацией, список по имениdefault применяется к интерфейсу по умолчанию. Прежде , чем конфигурировать авторизацию, необходимо включить AAA на NAS и сконфигурировать аутентификацию, TACACS+, локальную БД пользователей и/или RADIUS сервера.

Методы проверки полномочий

tacacs+ - использовать сервер TACACS+ для получения AV пар с полномочиями
if-authenticated - все аутентифицированные пользователи получают полномочия
none - полномочия не проверяются
local - используется локальная BD, определяемая командами username (только небольшая часть возможностей доступна)
radius
kerberos instance map

Конфигурация именованного списка методов авторизации aaa authorization [network | exec | command level | reverse-access ] [имя | default ]{ tacacs+ | if-authenticated | none | local | radius | krb5-instance}

Для аутентифицированных пользователей, зашедших с консольной линии, авторизация не производится.

Привязка поименованного списка методов к линии или интерфейсу (в соответствующем режиме конфигурации): authorization {arap | commands level | exec | reverse-access} {default | list-name} или (одновременно определяется список методов авторизации для SLIP) ppp authorization {default | list-name}

Запретить авторизацию команд конфигурации: no aaa authorization config-command

Примеры: ═ ═aaa authorization exec default tacacs+ if-authenticated # проверяем права на запуск EXEC (shell так у киски называется) с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена - только благодаря этой строчке tacacs+ сервер возвращает автокоманду (в нашем случае telnet или ppp) ═ ═aaa authorization commands 1 default tacacs+ if-authenticated # проверяем права на исполнение команд уровня 1 (непривилегированных) с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена ═ ═aaa authorization commands 15 default tacacs+ if-authenticated # проверяем права на исполнение команд уровня 15 (привилегированных) с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена ══ aaa authorization network default tacacs+ if-authenticated # проверка прав, если кто-то лезет к нам по сети, с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена

Пример авторизации обратного telnet-a (raccess {} обеспечивает доступ к любому порту, если raccess вообще нет, то и доступа не будет)═: aaa authorization reverse-access tacacs+

часть конфигурационного файла для tac_plus (внутри описания соответствующего пользователя или группы) service = raccess { port#1 = cat1/tty2 port#2 = cat2/tty5 }

<<< < Предыдущая 12 / 32 3 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
08.11.201999.84 Кб4ПРАКТИЧЕКОЕ ЗАНЯТИЕ 1.doc
#
08.12.2018554.5 Кб5Практическая работа по маркетингу.doc
#
10.06.20151.04 Mб30Практические по ОП.docx
#
26.04.20191.27 Mб8Практическое занятие Сети связи_Нумерация.doc
#
10.06.20151.5 Mб55Практическое занятие №1.Процесный подход в СМК.doc
#
10.06.201594.68 Кб14Предисловие.docx
#
29.03.2016626.04 Кб22Представление_и_обработка_чисел_в_компьютере.pdf
#
10.06.2015213.59 Кб68Приложения к практическим ОАиП.docx
#
21.08.20193.7 Mб16пример курсача ФВЧ Б Д (5).doc
#
10.06.2015111.1 Кб41пример решения.doc
#
10.06.201533.63 Кб37Пример-СТПО.docx