...
Данной командой создаются списки способов аутентификации повышения привилегий пользователей. При неудачной попытке аутентификации по одному способу происходит попытка аутентификации по следующему способу в списке.
В конфигурации по умолчанию существует список с именем «default». Список «default» содержит один способ аутентификации – «enable». Чтобы использовать список для аутентификации повышения привилегий пользователей, необходимо выполнить его привязку командой, описанной в разделе enable authentication.
...
Использование отрицательной формы команды (no) удаляет список способов аутентификации.
Синтаксис
aaa authentication login { default | <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ]
[ <METHOD 4> ]
no aaa authentication login { default | <NAME> }
...
Данной командой создаются списки способов авторизации команд, вводимых пользователем в систему. При неудачной попытке авторизации по одному способу происходит попытка аутентификации по следующему способу в списке.
В конфигурации по умолчанию существует список с именем «default», данный список содержит один способ авторизации – «local». Чтобы использовать список для авторизации команд вводимых пользователем в систему, необходимо выполнить его активацию командой, описанной в разделе commands authorization.
Использование отрицательной формы команды (no) удаляет список способов авторизации.
Синтаксис
aaa authorization commands { default | <NAME> } <METHOD 1> [ <METHOD 2> ]
no aaa authorization commands { default | <NAME> }
...
Данной командой включается авторизация конрольных контрольных команд (help, logout, end, exit) на TACACS-сервере.
В конфигурации по умолчанию этот функционал отключенэта функция отключена.
Использование отрицательной формы команды (no) возвращает состояние к дефолтному.
Синтаксис
[ no ] aaa authorization control-commands enable
Значение по умолчанию
no aaa authorization control-commands enable
...
Данная команда используется для добавления сервера динамической авторизации (DAS) и перехода в командный режим DAS SERVER. Сервера динамической авторизации (DAS) принимают RADIUS CoA запросы от клиентов динамической авторизации (DAC), например, отключение или повторный запрос списка сервисов пользователя.
...
<LDAP-HOST-NAME> – DNS-имя LDAP-сервера, задаётся строкой до 31 символа. Для корректного сопоставления DNS-имени хоста с IP-адресом на маршрутизаторе должен должна быть запущен запущена и настроен функционал настроена функция domain lookup enable.
Необходимый уровень привилегий
...
- необходимый уровень привилегий пользователям из локальной базы назначается указанной командой;
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу RADIUS, берется извлекается из атрибута cisco-avpair = "shell:priv-lvl=<PRIV>";
- необходимый уровень привилегий для пользователей, авторизовавшихся по протоколу TACACS, берется извлекается из атрибута priv-lvl=<PRIV>;
- уровень привилегий для пользователей, авторизовавшихся по протоколу LDAP, берется извлекается из атрибута, заданного командой privilege-level-attribute, описанной в разделе line, по умолчанию priv-lvl=<PRIV>.
...
Данной командой устанавливается время действия пароля локального пользователя. При попытке подключения пользователя с истекшим паролем , пользователь будет направлен в режим принудительной смены пароля.
...
Данной командой устанавливается минимальное количество прописных (заглавных) букв в пароле локального пользователя, ENABLE-пароле, имени SMNPv3-пользователя и SMNPv1/SMNPv2c SMNPv2 c комьюнити.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
...