| Оглавление | |||
|---|---|---|---|
|
accounting
aaa
Переход в режим конфигурирования аутентификации, авторизации и учета (AAA).
Синтаксис
aaaПараметры
Команда не содержит параметров.
Группа привилегий
config-generalКомандный режим
configure-view
Пример
| Блок кода |
|---|
MA5160(configure)# aaa |
enable
Команда активации работы ААА.
Синтаксис
[no] enableПараметры
[no] – отключает работу AAA.
Значение по умолчанию
no enableГруппа привилегий
config-accessКомандный режим
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# enable |
authentication
Команда настройки параметров аутентификации Команда настройки параметров учета (accounting) в рамках протоколов RADIUS и TACACS+.
Синтаксис
[no] accounting <VALUE> [<METHOD>]authentication <PROTOCOL>
Параметры
Протоколы (<VALUE>)<PROTOCOL> – протокол для аутентификации:
- radius – использование протокола RADIUS для учетааутентификации.
- tacacs+ – использование протокола TACACS+ для учетааутентификации.
Методы учета ([<METHOD>]):
- start-stop – метод учета, при котором отправляются записи о начале и завершении сессии.
- commands – метод учета, применяемый к выполнению команд пользователями (доступен только для TACACS+).
no] – отключает аутентификацию полностью, без указания протокола.
Значение по умолчанию
no accountingauthentication
Группа привилегий
config-access
Командный режим
CONFIGaaa-view
Примеры
1. Настройка учета для RADIUS:
Пример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# accounting radius start-stop |
2. Настройка учета для TACACS+ с учетом команд:
authentication tacacs+ |
authorization
Команда настройки параметров авторизации в рамках протоколов RADIUS и TACACS+.
Синтаксис
[no] authorization <VALUE> [<PARAMETER>]Параметры
<VALUE> – протокол для авторизации:
- radius – использование протокола RADIUS для авторизации.
- tacacs+ – использование протокола TACACS+ для авторизации.
<PARAMETER> – метод авторизации:
- Для radius:
- privilege – авторизация по уровню привилегий.
- nas-identifier <STRING> – авторизация по идентификатору NAS (Network Access Server), где <STRING> – строка длиной от 1 до 253 символов.
- Для tacacs+:
- privilege – авторизация по уровню привилегий.
- commands – авторизация по разрешенным или запрещенным командам.
[no] – отключает авторизацию полностью, без указания протокола.
Значение по умолчанию
no authorizationГруппа привилегий
config-accessКомандный режим
aaa-viewПример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# authorization accountingradius tacacs+privilege startnas-stopidentifier commands123 |
accounting
Команда настройки параметров учета (accounting) в рамках протоколов RADIUS и TACACS+.
Синтаксис
[no] accounting <VALUE><PROTOCOL> [<METHOD>]
Параметры
...
<PROTOCOL> – протокол для учета:
- radius – использование протокола RADIUS для учета.
- tacacs+ – использование протокола TACACS+ для учета.
<METHOD> – метод учета:
- Для radius:
- start-stop – метод учета, при котором отправляются записи о начале и завершении сессии.
- Для tacacs+ - методы учета
- :
- start-stop – метод учета, при котором отправляются записи о начале и завершении сессии.
- commands – метод учета, применяемый к выполнению команд пользователями
(доступен только для TACACS+) - .
[no] – отключает учет полностью, без указания протокола или метода.
Значение по умолчанию
no accountingГруппа привилегий
config-accessКомандный режим
...
CONFIGПримеры
...
...
| language | xml |
|---|
...
aaa...
-viewПример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# accounting tacacs+radius start-stop commands |
...
service name
Команда настройки параметров аутентификации в рамках протоколов RADIUS и имени сервиса TACACS+ для авторизации и учета.
Синтаксис
[no] service authenticationname <VALUE>
Параметры
Протоколы (<VALUE> ):
...
– имя сервиса TACACS+, строка длиной от 1 до 32 символов.
[no] – сбрасывает имя сервиса к значению по умолчанию
...
.
Значение по умолчанию
no authenticationservice name "shell"
Группа привилегий
config-access
Командный режим
CONFIGaaa-view
Пример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# service authenticationname my_tacacs+_service |
...
service protocol
Команда настройки параметров авторизации в рамках протоколов RADIUS и TACACS+протокола сервиса TACACS+ для авторизации и учета.
Синтаксис
[no] authorizationservice protocol <VALUE> [<PARAMETER>]
Параметры
Протоколы (<VALUE> ):
- radius – использование протокола RADIUS для авторизации.
- tacacs+ – использование протокола TACACS+ для авторизации.
Параметры авторизации ([<PARAMETER>]):
...
– протокол сервиса TACACS+, строка длиной от 1 до
...
32 символов.
...
[no] – сбрасывает протокол сервиса к значению по умолчанию.
Значение по умолчанию
no authorizationservice protocol ""
Группа привилегий
config-access
Командный режим
CONFIGaaa-view
Пример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# authorizationservice radius privilege nas-identifier 123 |
enable
protocol my_protocol |
tacacs-server timeout
Команда настройки времени ожидания ответа от TACACS+-сервера. По истечении времени ожидания запрос будет отправлен на следующий сервер по приоритетуКоманда активации работы ААА.
Синтаксис
[no] enableПараметры
tacacs-server timeout <TIMEOUT>Параметры
<TIMEOUT> – устанавливает время ожидания ответа от TACACS+-сервера в секундах. [1-30].
[no] – сбрасывает время ожидания для серверов TACACS+ к значению по умолчаниюКоманда не содержит параметров.
Значение по умолчанию
no enabletacacs-server timeout 3
Группа привилегий
config-access
Командный режим
CONFIGaaa-view
Пример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# enable |
...
tacacs-server timeout 10 |
tacacs-server host
Команда настройки IP-адреса RADIUSTACACS+-сервера.
Синтаксис
[no] radiustacacs-server host <IP>
Параметры
<IP>
...
– IP-адрес
...
TACACS+-сервера в формате
...
AAA.
...
BBB.
...
CCC.DDD:
- Можно настроить до трёх RADIUSTACACS+-серверов.
- Каждый сервер должен иметь уникальный IP-адрес.
[no] – удаляет настройку IP-адреса TACACS+-сервера.
Значение по умолчанию
radiustacacs-server host 0.0.0.0
Группа привилегий
config-access
Командный режим
CONFIGaaa-view
Пример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# radiustacacs-server host 192.168.1.12 |
...
tacacs-server host <IP> priority
Команда настройки приоритета RADIUSTACACS+-сервера.
Синтаксис
[no] radiustacacs-server host <IP> priority <PRIORITY>
Параметры
<IP>
...
– IP-адрес
...
TACACS+-сервера в формате
...
AAA.
...
BBB.
...
CCC.
...
priority
...
DDD.
<PRIORITY> – устанавливает приоритет TACACS+-сервера [1-3]. Чем меньше значение, тем выше приоритет.
...
- 1 – наивысший приоритет.
- 3 – наименьший приоритет.
[no] – удаляет настройку IP-адреса и приоритета для TACACS+-сервера.
Значение по умолчанию
radiustacacs-server host 0.0.0.0 priority 1
Группа привилегий
config-access
Командный режим
CONFIGaaa-view
Пример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# radiustacacs-server host 1.1.1.1 priority 12 |
...
tacacs-server host <IP> key
Команда настройки секретного ключа (shared secret) для RADIUSTACACS+-сервера.
Синтаксис
[no] radiustacacs-server host <IP> prioritykey <PRIORITY><KEY>
Параметры
<IP>
...
– IP-адрес
...
TACACS+-сервера в формате
...
AAA.
...
BBB.
...
CCC.
...
key
...
DDD.
<KEY> – устанавливает секретный ключ (shared secret) длиной от 1 до 63 символов, используемый для шифрования всех коммуникаций между устройством и
...
TACACS+-сервером.
...
[no] – удаляет настройку IP-адреса и секретный ключ для TACACS+-сервера.
Значение по умолчанию
radiustacacs-server host 0.0.0.0 key secret
Группа привилегий
config-access
Командный режим
CONFIGaaa-view
Пример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# radiustacacs-server host 1.1.1.1 key 12345678newkey123 |
...
tacacs-server host <IP> port
Команда настройки порта RADIUSTACACS+-сервера.
Синтаксис
[no] radiustacacs-server host <IP> port <PORT>
Параметры
<IP>
...
– IP-адрес
...
TACACS+-сервера в формате
...
AAA.
...
BBB.
...
CCC.
...
port
...
DDD.
<PORT> – устанавливает порт, который будет использоваться для связи с
...
TACACS+-сервером [1-65535].
...
[no] – удаляет настройку IP-адреса и порта для TACACS+-сервера.
Значение по умолчанию
radiustacacs-server host 0.0.0.0 port 181249
Группа привилегий
config-access
Командный режим
CONFIGaaa-view
Пример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# radiustacacs-server host 1.1.1.1 port 5000 | ||
| Примечание | ||
Если изменяется порт 1812, порт для учета также смещается на +1 (например, если указать порт 5000, то порт для учета станет 5001).6000 |
radius-server host
...
Команда настройки времени ожидания ответа от IP-адреса RADIUS-сервера.
Синтаксис
[no] radius-server host <IP> timeout <SECONDS>Параметры
<IP>
...
– IP-адрес RADIUS-сервера в формате
...
AAA.
...
BBB.
...
CCC.
...
timeout
...
DDD.
- Можно настроить до трёх RADIUS-серверов.
- Каждый сервер должен иметь уникальный IP-адрес.
[no] – удаляет настройку IP-адреса RADIUS-сервера
...
.
Значение по умолчанию
radius-server host 0.0.0.0 timeout 3Группа привилегий
config-access
Командный режим
CONFIGaaa-view
Пример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# radius-server host 1.1.1.1 timeout 10 |
service
Команда настройки параметров сервиса TACACS+ для авторизации и учета.
Синтаксис
[no] service <PARAMETER> <VALUE>Параметры
Параметры сервиса (<PARAMETER>):
- name – имя сервиса TACACS+, используемое для авторизации и учета.
- Значение: строка длиной от 1 до 32 символов.
- По умолчанию: "shell".
- protocol – протокол сервиса TACACS+, используемый для авторизации и учета.
- Значение: строка длиной от 1 до 32 символов.
- По умолчанию: "".
Значение по умолчанию
no serviceГруппа привилегий
config-accessКомандный режим
CONFIGПример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# service name my_tacacs_service |
tacacs-server timeout
192.168.1.1 |
radius-server host <IP> priority
Команда настройки приоритета RADIUS-сервера.Команда настройки времени ожидания ответа от TACACS+-сервера. По истечении времени ожидания запрос будет отправлен на следующий сервер по приоритету.
Синтаксис
[no] tacacs-server timeout <SECONDS>Параметры
timeout
- Описание: Устанавливает время ожидания ответа от TACACS+-сервера в секундах.
- Значение: <1-30>.
- Минимальное значение: 1 секунда.
- Максимальное значение: 30 секунд.
Значение по умолчанию
tacacs-server timeout 3Группа привилегий
config-accessКомандный режим
CONFIGПример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# tacacs-server timeout 10 |
tacacs-server host
Команда настройки IP-адреса TACACS+-сервера.
Синтаксис
[no] tacacs-server host <IP>Параметры
<IP>
...
radius-server host <IP> priority <PRIORITY>Параметры
<IP> – IP-адрес RADIUS-сервера в формате AAA.BBB.CCC.DDD.
<PRIORITY> – устанавливает приоритет RADIUS-сервера [1-3]. Чем меньше значение, тем выше приоритет.
[no] – удаляет настройку IP-адреса и приоритета для RADIUS-сервера
...
.
Значение по умолчанию
tacacsradius-server host 0.0.0.0 priority 1
Группа привилегий
config-access
Командный режим
CONFIGaaa-view
Пример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# tacacsradius-server host 1921.1681.1.2 |
...
1 priority 1 |
radius-server host <IP>
...
key
Команда настройки приоритета TACACS+секретного ключа (shared secret) для RADIUS-сервера.
Синтаксис
[no] tacacsradius-server host <IP> prioritykey <PRIORITY><KEY>
Параметры
<IP>
...
– IP-адрес
...
RADIUS-сервера в формате
...
AAA.
...
BBB.
...
CCC.
...
DDD.
...
<KEY> – устанавливает секретный ключ (shared secret) длиной от 1 до 63 символов, используемый для шифрования всех коммуникаций между устройством и RADIUS-сервером.
[no] – удаляет настройку IP-адреса и секретного ключа для RADIUS-сервера.
Значение по умолчанию
radiuspriority
- Описание: Устанавливает приоритет TACACS+-сервера. Чем меньше значение, тем выше приоритет.
- Значение: <1-3>.
- 1 – наивысший приоритет.
- 3 – наименьший приоритет.
Значение по умолчанию
tacacs-server host 0.0.0.0 prioritykey 1secret
Группа привилегий
config-access
Командный режим
CONFIGaaa-view
Пример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# tacacsradius-server host 1.1.1.1 prioritykey 212345678 |
...
radius-server host <IP>
...
port
Команда настройки секретного ключа (shared secret) для TACACS+порта RADIUS-сервера.
Синтаксис
[no] tacacsradius-server host <IP> keyport <KEY><PORT>
Параметры
<IP>
...
– IP-адрес
...
RADIUS-сервера в формате
...
AAA.
...
BBB.
...
CCC.
...
key
...
DDD.
<PORT> – устанавливает порт, который будет использоваться для связи с RADIUS-сервером. [1-65535].
[no] – удаляет настройку IP-адреса и порта для RADIUS-сервера
...
.
Значение по умолчанию
tacacsradius-server host 0.0.0.0 keyport secret1812
Группа привилегий
config-access
Командный режим
CONFIGaaa-view
Пример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# tacacsradius-server host 1.1.1.1 port 5000 |
| Примечание |
|---|
Если изменяется порт 1812, порт для учета также смещается на +1 key newkey123 |
...
(например, если указать порт 5000, то порт для учета станет 5001). |
radius-server host <IP>
...
timeout
Команда настройки порта TACACS+времени ожидания ответа от RADIUS-сервера.
Синтаксис
[no] tacacsradius-server host <IP> porttimeout <PORT><TIMEOUT>
Параметры
<IP>
...
– IP-адрес
...
RADIUS-сервера в формате A.B.C.D.
...
Пример:
...
192.
...
168.1.1.
port
...
<TIMEOUT> – устанавливает время ожидания ответа от RADIUS-сервера в секундах [1-30].
[no] – удаляет настройку IP-адреса и времени ожидания для RADIUS-сервера
...
.
Значение по умолчанию
tacacsradius-server host 0.0.0.0 keytimeout secret3
Группа привилегий
config-access
Командный режим
CONFIGaaa-view
Пример
| Блок кода | ||
|---|---|---|
| ||
MA5160(config)(aaa)# tacacsradius-server host 1.1.1.1 porttimeout 600010 |
| Scroll Pagebreak |
|---|