配置AAA命令之授权相关命令

小乔

aaa authorization commands

对于已登录到NAS的CLI界面上的用户，要使用要AAA命令授权功能对用户执行的命令进行授权，允许或禁止某个用户执行具体的命令。请执行全局配置命令aaa authorization commands。该命令的no形式关闭AAA命令授权功能。

aaa authorization commands level {default | list-name} method1 [method2…]

no aaa authorization commands level {default | list-name}

参数说明		参数	描述
	level	要进行授权的命令级别，范围0~15，决定哪个级别的命令需要授权通过后才能执行。
	default	使用该参数，则后面定义的方法列表作为命令授权的默认方法
	list-name	定义一个命令授权的方法列表，可以是任何字符串。
	method	必须是“none、group”所列关键字之一，一个方法列表最多有4个方法
	none	不进行授权
	group	使用服务器组进行授权，目前支持TACACS+服务器组

缺省配置

关闭AAA命令授权功能。

命令模式

全局配置模式。

使用指导

RGOS支持对用户可执行的命令进行授权，当用户输入并试图执行某条命令时，AAA将该命令发送到安全服务器上，如果安全服务器允许执行该命令，则该命令被执行，否则该命令不执行，并会给出执行命令被拒绝的提示。 配置命令授权的时候需要指定命令的级别，这个级别是命令的默认级别（例如，某命令对于14级以上用户可见，则该命令的默认级别就是14级的）。 配置了命令授权方法后，必须将其应用在需要进行命令授权的终端线路上，否则将不生效。

配置举例

下面的示例使用TACACS+服务器对15级命令进行授权： Ruijie(config)# aaa authorization commands 15 default group tacacs+

相关命令		命令	描述
	aaa new-model	使能AAA安全服务
	authorization commands	在终端线路上应用命令授权

平台说明

无

命令历史		版本号	说明
	–	–

1.2.2aaa authorization config-commands

要使用AAA对配置模式（包括全局配置模式及其子模式）下的命令进行授权，执行全局配置命令aaa authorization config-commands。该命令的no形式关闭AAA对配置模式下的命令的授权功能。

aaa authorization config-commands

no aaa authorization config-commands

参数说明		参数	描述
	–	–

缺省配置

默认不对配置模式下命令的进行授权。

命令模式

全局配置模式。

使用指导

如果只对非配置模式（如特权模式）下的命令进行授权，可以使用该命令的no模式关闭配置模式的授权功能，则配置模式及其子模式下的命令不需要进行命令授权就可以执行。

配置举例

下面的示例打开对配置模式下命令的授权功能： Ruijie(config)# aaa authorization config-commands

相关命令		命令	描述
	aaa new-model	使能AAA安全服务
	aaa authorization commands	定义AAA命令授权

平台说明

无

命令历史		版本号	说明
	–	–

1.2.3aaa authorization console

要使用AAA对通过控制台登录的用户，所执行的命令进行授权，执行全局配置命令aaa authorization console。该命令的no形式关闭AAA对对通过控制台登录的用户所执行命令的授权功能。

aaa authorization console

no aaa authorization console

参数说明		参数	描述
	–	–

缺省配置

默认不对控制台用户执行的命令进行授权。

命令模式

全局配置模式。

使用指导

RGOS支持区分通过控制台登录和其他终端登录的用户，可以设置控制台登录的用户，是否需要进行命令授权。如果关闭了控制台的命令授权功能，则已经应用到控制台线路的命令授权方法列表将不生效。

配置举例

下面的示例配置控制台登录用户的命令授权功能： Ruijie(config)# aaa authorization console

相关命令		命令	描述
	aaa new-model	使能AAA安全服务
	aaa authorization commands	定义AAA命令授权
	authorization commands	在终端线路上应用命令授权

平台说明

无

命令历史		版本号	说明
	–	–

1.2.4aaa authorization exec

要使用AAA对登录到NAS的CLI界面的用户进行Exec授权，赋予其权限级别，执行全局配置命令aaa authorization exec。该命令的no形式关闭AAA Exec的授权功能。

aaa authorization exec {default | list-name} method1 [method2…]

no aaa authorization exec {default | list-name}

参数说明		参数	描述
	default	使用该参数，则后面定义的方法列表作为Exec授权的默认方法。
	list-name	定义一个Exec授权的方法列表，可以是任何字符串。
	method	必须是“local、none、group”所列关键字之一，一个方法列表最多有4个方法
	local	使用本地用户名数据库进行授权
	none	不进行授权
	group	使用服务器组进行授权，目前支持RADIUS和TACACS+服务器组

缺省配置

关闭AAA Exec授权功能。

命令模式

全局配置模式。

使用指导

RGOS支持对登录到NAS的CLI界面的用户进行授权，赋予其CLI权限级别（0~15级）。目前是对于通过了Login认证的用户，才进行Exec授权。如果Exec授权失败，则无法进入CLI界面。 配置了Exec授权方法后，必须将其应用在需要进行Exec授权的终端线路上，否则将不生效。

配置举例

下面的示例使用RADIUS服务器进行Exec授权： Ruijie(config)# aaa authorization exec default group radius

相关命令		命令	描述
	aaa new-model	使能AAA安全服务
	authorization exec	在终端线路上应用授权
	username	定义本地用户数据库

平台说明

无

命令历史		版本号	说明
	–	–

1.2.5aaa authorization network

要使用AAA对访问网络用户的服务请求（包括PPP、SLIP等协议）进行授权，执行全局配置命令aaa authorization network。该命令的no形式关闭AAA的授权功能。

aaa authorization network {default | list-name} method1 [method2…]

no aaa authorization network {default | list-name}

参数说明		参数	描述
	default	：使用该参数，则后面定义的方法列表作为Network授权的默认方法。
	method	必须是“none、group”所列关键字之一，一个方法列表最多有4个方法
	none	不进行网络授权
	group	使用服务器组进行授权，目前支持RADIUS和TACACS+服务器组

缺省配置

关闭AAA Network授权功能。

命令模式

全局配置模式。

使用指导

RGOS支持对所有网络有关的服务请求如PPP、SLIP等协议进行授权。如果配置了授权，则对所有的认证用户或接口自动进行授权。 可以指定三种不同的授权方法，与身份认证一样，只有当前的授权方法没有响应，才能继续使用后面的方法进行授权，如果当前授权方法失败，则不再使用其他后继的授权方法。 RADIUS或TACACS+服务器是通过返回一系列的属性对来完成对认证用户的授权。所以网络授权是建立在认证的基础上的，只有认证通过了才有可能获取网络授权。

配置举例

下面的示例使用RADIUS服务器对网络服务进行授权： Ruijie(config)# aaa authorization network default group radius

相关命令		命令	描述
	aaa new-model	使能AAA安全服务
	aaa accounting	定义AAA记帐
	aaa authentication	定义AAA身份认证
	username	定义本地用户数据库

平台说明

无

命令历史		版本号	说明
	–	–

1.2.6authorization commands

要将命令授权列表应用在指定终端线路上，执行线路配置模式命令 authorization commands。该命令的no形式取消线路上命令授权功能。

authorization commands level {default | list-name}

no authorization commands level

参数说明		参数	描述
	level	要进行授权的命令级别，范围0~15，决定哪个级别的命令需要授权通过后才能执行。
	default	使用该参数，应用命令授权的默认方法。
	list-name	应用一个已定义的命令授权的方法列表。

缺省配置

未配置AAA命令授权功能。

命令模式

线路配置模式。

使用指导

默认的命令授权方法列表一旦配置，将自动应用到所有终端上。在线路上应用非默认命令授权方法列表，将取代默认的方法列表。如果试图应用未定义的方法列表，则会给出一个警告提示信息，该线路上的命令授权将不会生效，直至定义了该命令授权方法列表才会生效。

配置举例

下面的示例配置一个名为cmd的命令授权列表，针对15级命令进行授权，使用TACACS+作为安全服务器，如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上： Ruijie(config)# aaa authorization commands 15cmd group tacacs+ none Ruijie(config)# line vty 0 4 Ruijie(config-line)# authorization commands 15cmd

相关命令		命令	描述
	aaa new-model	使能AAA安全服务
	aaa authorization commands	定义AAA命令授权方法列表

平台说明

无

命令历史		版本号	说明
	–	–

1.2.7authorization exec

要将Exec授权列表应用在指定终端线路上，执行线路配置模式命令 authorization exec。该命令的no形式取消线路上Exec授权功能。

authorization exec {default | list-name}

no authorization exec

参数说明		参数	描述
	default	使用该参数，应用Exec授权的默认方法。
	list-name	应用一个已定义的Exec授权的方法列表。

缺省配置

未配置AAA Exec授权功能。

命令模式

线路配置模式。

使用指导

默认的Exec授权方法列表一旦配置，将自动应用到所有终端上。在线路上应用非默认Exec授权方法列表，将取代默认的方法列表。如果试图应用未定义的方法列表，则会给出一个警告提示信息，该线路上的Exec授权将不会生效，直至定义了该Exec授权方法列表才会生效。

配置举例

下面的示例配置一个名为exec-1的Exec授权列表，使用RADIUS作为安全服务器，如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上： Ruijie(config)# aaa authorization exec exec-1 group radius none Ruijie(config)# line vty 0 4 Ruijie(config-line)# authorization exec exec-1

相关命令		命令	描述
	aaa new-model	使能AAA安全服务
	aaa authorization commands	定义AAA Exec授权方法列表

平台说明

无

命令历史

版本号

说明

byv10119

welinker448