| Оглавление | |||
|---|---|---|---|
|
accounting
aaa
Переход в режим конфигурирования аутентификации, авторизации и учета (AAA).
Синтаксис
aaaПараметры
Команда не содержит параметров.
Группа привилегий
config-generalКомандный режим
configure-view
Пример
| Блок кода |
|---|
MA5160(configure)# aaa |
enable
Команда активации работы ААА.
Синтаксис
[no] enableПараметры
[no] – отключает работу AAA.
Значение по умолчанию
no enableГруппа привилегий
config-accessКомандный режим
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# enable |
authentication
Команда настройки параметров аутентификации Команда настройки параметров учета (accounting) в рамках протоколов RADIUS и TACACS+.
Синтаксис
[no] accounting {radius | tacacs+} [start-stop [commands]]authentication <PROTOCOL>
Параметры
Протоколы<PROTOCOL> – протокол для аутентификации:
- radius – использование протокола RADIUS для учетааутентификации.
- tacacs+ – использование протокола TACACS+ для учетааутентификации.
Методы учета:
- start-stop – метод учета, при котором отправляются записи о начале и завершении сессии.
- commands – метод учета, применяемый к выполнению команд пользователями (доступен только для TACACS+).
[no] – отключает аутентификацию полностью, без указания протокола.
Значение по умолчанию
no accountingauthentication
Группа привилегий
config-access
Командный режим
CONFIG
Примеры
...
aaa-viewПример
...
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# accounting radius start-stop |
2. Настройка учета для TACACS+ с учетом команд:
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# accounting tacacs+ start-stop commands |
eeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
enable
Команда активации работы ААА.
Синтаксис
authentication tacacs+ |
authorization
Команда настройки параметров авторизации в рамках протоколов RADIUS и TACACS+.
Синтаксис
[no] authorization <VALUE> [<PARAMETER>]Параметры
<VALUE> – протокол для авторизации:
- radius – использование протокола RADIUS для авторизации.
- tacacs+ – использование протокола TACACS+ для авторизации.
<PARAMETER> – метод авторизации:
- Для radius:
- privilege – авторизация по уровню привилегий.
- nas-identifier <STRING> – авторизация по идентификатору NAS (Network Access Server), где <STRING> – строка длиной от 1 до 253 символов.
- Для tacacs+:
- privilege – авторизация по уровню привилегий.
- commands – авторизация по разрешенным или запрещенным командам.
[no] – отключает авторизацию полностью, без указания протокола.
...
Значение по умолчанию
no enableauthorization
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16NMA5160(config)(aaa)# enableauthorization radius privilege nas-identifier 123 |
accounting
Команда включения аккаунтинга через TACACS+ или RADIUS-сервер. Через сервер TACACS+ возможно настроить аккаунтинг команд.
Синтаксис
...
настройки параметров учета (accounting) в рамках протоколов RADIUS и TACACS+.
Синтаксис
[no] accounting <PROTOCOL> <METHOD>Параметры
<PROTOCOL> – протокол для учета:
- radius – использование протокола RADIUS для учета.
- tacacs+ – использование протокола TACACS+ для учета.
<METHOD> – метод учета:
- Для radius:
- start-stop – метод учета, при котором отправляются записи о начале и завершении сессии.
- Для tacacs+:
- start-stop – метод учета, при котором отправляются записи о начале и завершении сессии.
- commands – метод учета, применяемый к выполнению команд пользователями.
[no] – отключает учет полностью, без указания протокола или метода.
Значение по умолчанию
no accounting
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# accountingMA5160(config)(aaa)# accounting radius start-stop |
...
service name
Команда включения аутентификации через TACACS+ или RADIUS-сервернастройки имени сервиса TACACS+ для авторизации и учета.
Синтаксис
...
[no] service name <VALUE>Параметры
<VALUE> – имя сервиса TACACS+, строка длиной от 1 до 32 символов.
[no] – сбрасывает имя сервиса к значению по умолчанию.
Значение по умолчанию
no authenticationservice name "shell"
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# authentication radius |
authorization
Команда включения авторизации через TACACS+ или RADIUS-сервер. Через сервер TACACS+ возможно настроить авторизацию команд.
Синтаксис
authorization radius privilege
authorization tacacs+ privilege
authorization tacacs+ commands
no authorization
Значение по умолчанию
MA5160(config)(aaa)# service name my_tacacs_service |
service protocol
Команда настройки протокола сервиса TACACS+ для авторизации и учета.
Синтаксис
[no] service protocol <VALUE>Параметры
<VALUE> – протокол сервиса TACACS+, строка длиной от 1 до 32 символов.
[no] – сбрасывает протокол сервиса к значению по умолчанию.
Значение по умолчанию
service protocol ""no authorization
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# authorization tacacs+ privilege |
radius-server host IP
MA5160(config)(aaa)# service protocol my_protocol |
tacacs-server timeout
Команда настройки времени ожидания ответа от TACACS+-сервера. По истечении времени ожидания запрос будет отправлен на следующий сервер по приоритету.Команда для задания адреса RADIUS-сервера, который будет использоваться для AAA. Можно указать до трех серверов.
Синтаксис
[no] radiustacacs-server hosttimeout <IP> <TIMEOUT>
Параметры
<TIMEOUT> – устанавливает время ожидания ответа от TACACS+-сервера в секундах. [1-30].
[no] – сбрасывает время ожидания для серверов TACACS+ к значению по умолчанию<IP> – IP-адрес сервера в формате AAA.BBB.CCC.DDD.
Значение по умолчанию
radiustacacs-server host 0.0.0.0timeout 3
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configureMA5160(config)(aaa)# radiustacacs-server host 192.168.1.1 |
...
timeout 10 |
tacacs-server host
...
Команда для задания приоритета RADIUS-сервера от 1 до 3, где 1 – самый высокийнастройки IP-адреса TACACS+-сервера.
Синтаксис
[no] radiustacacs-server host <IP> priority <VALUE>
Параметры
<IP> – IP-адрес TACACS+-сервера в формате AAA.BBB.CCC.DDD;:
- Можно настроить до трёх TACACS+-серверов.
- Каждый сервер должен иметь уникальный IP-адрес.
[no] – удаляет настройку IP-адреса TACACS+-сервера<VALUE> – приоритет для сервера, значение от 1 до 3.
Значение по умолчанию
radiustacacs-server host 0.0.0.0 priority 1
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# radiusMA5160(config)(aaa)# tacacs-server host 192.168.1.1 priority 2 |
...
tacacs-server host
...
<IP> priority
Команда настройки приоритета TACACS+-сервераКоманда для задания ключа шифрования запросов к RADIUS-серверу.
Синтаксис
[no] radiustacacs-server host <IP> keypriority <VALUE><PRIORITY>
Параметры
<IP> – IP-адрес TACACS+-сервера в формате AAA.BBB.CCC.DDD;
<VALUE> – ключ для сервера длиной от 1 до 64 символов.
<PRIORITY> – устанавливает приоритет TACACS+-сервера [1-3]. Чем меньше значение, тем выше приоритет.
[no] – удаляет настройку IP-адреса и приоритета для TACACS+-сервера.
Значение по умолчанию
radiustacacs-server host 0.0.0.0 keypriority secret1
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# radiusMA5160(config)(aaa)# tacacs-server host 1921.1681.1.1 keypriority secret123452 |
...
tacacs-server host
...
<IP> key
Команда для задания порта, который будет использоваться для RADIUSнастройки секретного ключа (shared secret) для TACACS+-сервера.
Синтаксис
[no] radiustacacs-server host <IP> portkey <VALUE><KEY>
Параметры
<IP> – IP-адрес TACACS+-сервера в формате AAA.BBB.CCC.DDD;.
<KEY> – устанавливает секретный ключ (shared secret) длиной от 1 до 63 символов, используемый для шифрования всех коммуникаций между устройством и TACACS+-сервером.
[no] – удаляет настройку IP-адреса и секретный ключ для TACACS+-сервера<VALUE> – порт, который будет использоваться для обмена с сервером, значение от 1 до 65535.
Значение по умолчанию
radiustacacs-server host 0.0.0.0 portkey 1812secret
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# radiusMA5160(config)(aaa)# tacacs-server host 1921.1681.1.1 portkey 345newkey123 |
...
tacacs-server host
...
<IP> port
Команда для задания timeout ответа от сервера. По истечению времени ожидания запрос будет отправлен на следующий сервер согласно приоритету.настройки порта TACACS+-сервера.
Синтаксис
[no] radiustacacs-server host <IP> timeoutport <VALUE><PORT>
Параметры
<IP> – IP-адрес TACACS+-сервера в формате AAA.BBB.CCC.DDD;.
<PORT> – устанавливает порт, который будет использоваться для связи с TACACS+-сервером [1-65535].
[no] – удаляет настройку IP-адреса и порта для TACACS+-сервера<VALUE> – время ожидания ответа от сервера, от 1 до 30 секунд.
Значение по умолчанию
radiustacacs-server host 0.0.0.0 timeoutport 349
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# radiusMA5160(config)(aaa)# tacacs-server host 1921.1681.1.1 timeoutport 206000 |
...
radius-server host
...
Команда для задания адреса сервера TACACS+, который будет использоваться для AAA. Можно указать до трех серверов. настройки IP-адреса RADIUS-сервера.
Синтаксис
[no] tacacsradius-server host <IP>
Параметры
<IP> – IP-адрес RADIUS-сервера в формате AAA.BBB.CCC.DDD.
- Можно настроить до трёх RADIUS-серверов.
- Каждый сервер должен иметь уникальный IP-адрес.
[no] – удаляет настройку IP-адреса RADIUS-сервера.
Значение по умолчанию
tacacsradius-server host 0.0.0.0
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# tacacsMA5160(config)(aaa)# radius-server host 192.168.1.1 |
...
radius-server host
...
<IP> priority
Команда для задания настройки приоритета для TACACS-сервера от 1 до 3, где 1 – самый высокийRADIUS-сервера.
Синтаксис
[no] tacacsradius-server host <IP> priority <VALUE><PRIORITY>
Параметры
<IP> – IP-адрес RADIUS-сервера в формате AAA.BBB.CCC.DDD;.
<VALUE> <PRIORITY> – устанавливает приоритет для сервера, значение от 1 до 3.RADIUS-сервера [1-3]. Чем меньше значение, тем выше приоритет.
[no] – удаляет настройку IP-адреса и приоритета для RADIUS-сервера.
Значение по умолчанию
tacacsradius-server host 0.0.0.0 priority 1
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# tacacsMA5160(config)(aaa)# radius-server host 1921.1681.1.1 priority 21 |
...
radius-server host
...
<IP> key
Команда для задания ключа шифрования запросов к TACACS-серверунастройки секретного ключа (shared secret) для RADIUS-сервера.
Синтаксис
[no] tacacsradius-server host <IP> key <VALUE><KEY>
Параметры
<IP> – IP-адрес RADIUS-сервера в формате AAA.BBB.CCC.DDD;.
<VALUE> <KEY> – ключ для сервера устанавливает секретный ключ (shared secret) длиной от 1 до 64 символов.63 символов, используемый для шифрования всех коммуникаций между устройством и RADIUS-сервером.
[no] – удаляет настройку IP-адреса и секретного ключа для RADIUS-сервера.
Значение по умолчанию
tacacsradius-server host 0.0.0.0 key secret
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# tacacsMA5160(config)(aaa)# radius-server host 1921.1681.1.1 key secret1234512345678 |
...
radius-server host
...
<IP> port
Команда для задания порта, который будет использоваться для TACACSнастройки порта RADIUS-сервера.
Синтаксис
[no] tacacsradius-server host <IP> port <VALUE><PORT>
Параметры
<IP> – IP-адрес RADIUS-сервера в формате AAA.BBB.CCC.DDD;.
<VALUE> <PORT> – устанавливает порт, который будет использоваться для обмена связи с RADIUS-сервером, от . [1 до -65535].
[no] – удаляет настройку IP-адреса и порта для RADIUS-сервера.
Значение по умолчанию
tacacsradius-server host 0.0.0.0 port 491812
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# tacacsMA5160(config)(aaa)# radius-server host 1921.1681.1.1 port 345 |
tacacs-server timeout
5000 |
| Примечание |
|---|
Если изменяется порт 1812, порт для учета также смещается на +1 (например, если указать порт 5000, то порт для учета станет 5001). |
radius-server host <IP> timeout
Команда настройки времени ожидания ответа от RADIUS-сервера.Команда для задания timeout ответа от TACACS-сервера. По истечении времени ожидания запрос будет отправлен на следующий сервер по приоритету.
Синтаксис
[no] tacacsradius-server host <IP> timeout <VALUE><TIMEOUT>
Параметры
...
<IP> – IP-адрес RADIUS-сервера в формате A.B.C.D. Пример: 192.168.1.1.
<TIMEOUT> – устанавливает <VALUE> – время ожидания ответа от сервера, от 1 до 30 секундRADIUS-сервера в секундах [1-30].
[no] – удаляет настройку IP-адреса и времени ожидания для RADIUS-сервера.
Значение по умолчанию
tacacsradius-server host 0.0.0.0 timeout 3
Группа привилегий
config-access
Командный режим
...
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# tacacsMA5160(config)(aaa)# radius-server timeout 20 |
service name
Команда для задания имени сервиса, которое будет подставляться в запросы к TACACS-серверу. Для некоторых серверов требуется отличный от стандартного формат.
Синтаксис
service name <VALUE>
no service name
Параметры
<VALUE> – значение имени, которое будет подставляться в запросы на сервер, длиной от 1 до 32 символов.
Значение по умолчанию
service name "shell"Группа привилегий
config-accessКомандный режим
CONFIG
Пример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# service name "test" |
service protocol
Команда для задания протокола, который будет подставляться в запросы к TACACS-серверу. Для некоторых серверов требуется отличный от стандартного формат.
Синтаксис
service protocol <VALUE>
no service protocol
Параметры
<VALUE> – значение протокола, которое будет подставляться в запросы на сервер, длиной от 1 до 32 символов.
Значение по умолчанию
service protocol ""Группа привилегий
config-accessКомандный режим
CONFIG
Пример
| Блок кода | ||
|---|---|---|
| ||
LTP-16N(configure)# service protocol "test"host 1.1.1.1 timeout 10 |
| Scroll Pagebreak |
|---|