aaa

Переход в режим конфигурирования аутентификации, авторизации и учета (AAA).

Синтаксис

aaa

Параметры

Команда не содержит параметров.

Группа привилегий

config-general

Командный режим

configure-view

Пример

MA5160(configure)# aaa

enable

Команда активации работы ААА.

Синтаксис

[no] enable

Параметры

[no] – отключает работу AAA.

Значение по умолчанию

no enable

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# enable

authentication

Команда настройки параметров аутентификации в рамках протоколов RADIUS и TACACS+.

Синтаксис

[no] authentication <PROTOCOL>

Параметры

<PROTOCOL> – протокол для аутентификации:

• radius – использование протокола RADIUS для аутентификации.
• tacacs+ – использование протокола TACACS+ для аутентификации.

[no] – отключает аутентификацию полностью, без указания протокола.

Значение по умолчанию

no authentication

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# authentication tacacs+

authorization

Команда настройки параметров авторизации в рамках протоколов RADIUS и TACACS+.

Синтаксис

[no] authorization <VALUE> [<PARAMETER>]

Параметры

<VALUE> – протокол для авторизации:

• radius – использование протокола RADIUS для авторизации.
• tacacs+ – использование протокола TACACS+ для авторизации.

<PARAMETER> – метод авторизации:

• Для radius:
  • privilege – авторизация по уровню привилегий.
  • nas-identifier <STRING> – авторизация по идентификатору NAS (Network Access Server), где <STRING> – строка длиной от 1 до 253 символов.
• Для tacacs+:
  • privilege – авторизация по уровню привилегий.
  • commands – авторизация по разрешенным или запрещенным командам.

[no] – отключает авторизацию полностью, без указания протокола.

Значение по умолчанию

no authorization

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# authorization radius privilege nas-identifier 123

accounting

Команда настройки параметров учета (accounting) в рамках протоколов RADIUS и TACACS+.

Синтаксис

[no] accounting <PROTOCOL> <METHOD>

Параметры

<PROTOCOL> – протокол для учета:

• radius – использование протокола RADIUS для учета.
• tacacs+ – использование протокола TACACS+ для учета.

<METHOD> – метод учета:

• Для radius:
  • start-stop – метод учета, при котором отправляются записи о начале и завершении сессии.
• Для tacacs+:
  • start-stop – метод учета, при котором отправляются записи о начале и завершении сессии.
  • commands – метод учета, применяемый к выполнению команд пользователями.

[no] – отключает учет полностью, без указания протокола или метода

Значение по умолчанию

no accounting

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# accounting radius start-stop

service name

Команда настройки имени сервиса TACACS+ для авторизации и учета.

Синтаксис

[no] service name <VALUE>

Параметры

<VALUE> – имя сервиса TACACS+, строка длиной от 1 до 32 символов.

[no] – сбрасывает имя сервиса к значению по умолчанию.

Значение по умолчанию

service name "shell"

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# service name my_tacacs_service

service protocol

Команда настройки протокола сервиса TACACS+ для авторизации и учета.

Синтаксис

[no] service protocol <VALUE>

Параметры

<VALUE> – протокол сервиса TACACS+, строка длиной от 1 до 32 символов.

[no] – сбрасывает протокол сервиса к значению по умолчанию.

Значение по умолчанию

service protocol ""

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# service protocol my_protocol

tacacs-server timeout

Команда настройки времени ожидания ответа от TACACS+-сервера. По истечении времени ожидания запрос будет отправлен на следующий сервер по приоритету.

Синтаксис

[no] tacacs-server timeout <TIMEOUT>

Параметры

<TIMEOUT> – устанавливает время ожидания ответа от TACACS+-сервера в секундах. [1-30].

[no] – сбрасывает время ожидания для серверов TACACS+ к значению по умолчанию.

Значение по умолчанию

tacacs-server timeout 3

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# tacacs-server timeout 10

tacacs-server host

Команда настройки IP-адреса TACACS+-сервера.

Синтаксис

[no] tacacs-server host <IP>

Параметры

<IP> – IP-адрес TACACS+-сервера в формате AAA.BBB.CCC.DDD:

• Можно настроить до трёх TACACS+-серверов.
• Каждый сервер должен иметь уникальный IP-адрес.

[no] – удаляет настройку IP-адреса TACACS+-сервера.

Значение по умолчанию

tacacs-server host 0.0.0.0

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# tacacs-server host 192.168.1.2

tacacs-server host <IP> priority

Команда настройки приоритета TACACS+-сервера.

Синтаксис

[no] tacacs-server host <IP> priority <PRIORITY>

Параметры

<IP> – IP-адрес TACACS+-сервера в формате AAA.BBB.CCC.DDD.

<PRIORITY> – устанавливает приоритет TACACS+-сервера [1-3]. Чем меньше значение, тем выше приоритет.

[no] – удаляет настройку IP-адреса и приоритета для TACACS+-сервера.

Значение по умолчанию

tacacs-server host 0.0.0.0 priority 1

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# tacacs-server host 1.1.1.1 priority 2

tacacs-server host <IP> key

Команда настройки секретного ключа (shared secret) для TACACS+-сервера.

Синтаксис

[no] tacacs-server host <IP> key <KEY>

Параметры

<IP> – IP-адрес TACACS+-сервера в формате AAA.BBB.CCC.DDD.

<KEY> – устанавливает секретный ключ (shared secret) длиной от 1 до 63 символов, используемый для шифрования всех коммуникаций между устройством и TACACS+-сервером.

[no] – удаляет настройку IP-адреса и секретный ключ для TACACS+-сервера.

Значение по умолчанию

tacacs-server host 0.0.0.0 key secret

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# tacacs-server host 1.1.1.1 key newkey123

tacacs-server host <IP> port

Команда настройки порта TACACS+-сервера.

Синтаксис

[no] tacacs-server host <IP> port <PORT>

Параметры

<IP> – IP-адрес TACACS+-сервера в формате AAA.BBB.CCC.DDD.

<PORT> – устанавливает порт, который будет использоваться для связи с TACACS+-сервером [1-65535].

[no] – удаляет настройку IP-адреса и порта для TACACS+-сервера.

Значение по умолчанию

tacacs-server host 0.0.0.0 port 49

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# tacacs-server host 1.1.1.1 port 6000

radius-server host

Команда настройки IP-адреса RADIUS-сервера.

Синтаксис

[no] radius-server host <IP>

Параметры

<IP> – IP-адрес RADIUS-сервера в формате AAA.BBB.CCC.DDD.

• Можно настроить до трёх RADIUS-серверов.
• Каждый сервер должен иметь уникальный IP-адрес.

[no] – удаляет настройку IP-адреса RADIUS-сервера.

Значение по умолчанию

radius-server host 0.0.0.0

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# radius-server host 192.168.1.1

radius-server host <IP> priority

Команда настройки приоритета RADIUS-сервера.

Синтаксис

[no] radius-server host <IP> priority <PRIORITY>

Параметры

<IP> – IP-адрес RADIUS-сервера в формате AAA.BBB.CCC.DDD.

<PRIORITY> – устанавливает приоритет RADIUS-сервера [1-3]. Чем меньше значение, тем выше приоритет.

[no] – удаляет настройку IP-адреса и приоритета для RADIUS-сервера.

Значение по умолчанию

radius-server host 0.0.0.0 priority 1

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# radius-server host 1.1.1.1 priority 1

radius-server host <IP> key

Команда настройки секретного ключа (shared secret) для RADIUS-сервера.

Синтаксис

[no] radius-server host <IP> key <KEY>

Параметры

<IP> – IP-адрес RADIUS-сервера в формате AAA.BBB.CCC.DDD.

<KEY> – устанавливает секретный ключ (shared secret) длиной от 1 до 63 символов, используемый для шифрования всех коммуникаций между устройством и RADIUS-сервером.

[no] – удаляет настройку IP-адреса и секретного ключа для RADIUS-сервера.

Значение по умолчанию

radius-server host 0.0.0.0 key secret

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# radius-server host 1.1.1.1 key 12345678

radius-server host <IP> port

Команда настройки порта RADIUS-сервера.

Синтаксис

[no] radius-server host <IP> port <PORT>

Параметры

<IP> – IP-адрес RADIUS-сервера в формате AAA.BBB.CCC.DDD.

<PORT> – устанавливает порт, который будет использоваться для связи с RADIUS-сервером. [1-65535].

[no] – удаляет настройку IP-адреса и порта для RADIUS-сервера.

Значение по умолчанию

radius-server host 0.0.0.0 port 1812

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# radius-server host 1.1.1.1 port 5000

Если изменяется порт 1812, порт для учета также смещается на +1 (например, если указать порт 5000, то порт для учета станет 5001).

radius-server host <IP> timeout

Команда настройки времени ожидания ответа от RADIUS-сервера.

Синтаксис

[no] radius-server host <IP> timeout <TIMEOUT>

Параметры

<IP> – IP-адрес RADIUS-сервера в формате A.B.C.D. Пример: 192.168.1.1.

<TIMEOUT> – устанавливает время ожидания ответа от RADIUS-сервера в секундах [1-30].

[no] – удаляет настройку IP-адреса и времени ожидания для RADIUS-сервера.

Значение по умолчанию

radius-server host 0.0.0.0 timeout 3

Группа привилегий

config-access

Командный режим

aaa-view

Пример

MA5160(config)(aaa)# radius-server host 1.1.1.1 timeout 10