實驗環境,拓撲圖見這個認證實驗http://3824597.blog.51cto.com/3814597/1172212
授權一般是在認證配置好了的前提下在配置的!
ACS上的客服端 服務器配置見認證實驗文章!
接下來點擊“group setup”,將“group 1”重命名爲“normal”,將“group 2”重命名 爲“super”。
然後點擊“user setup”添加用戶 user1 和 user2,其中 user1 屬於“normal”組,user2 屬於“super”組。
再然後在路由器上配置授權
Router(config)# aaa authorization exec default group tacacs+ local
Router(config)# aaa authorization commands 1 default group tacacs+ none
!對等級 1 的命令進行授權
Router(config)# aaa authorization commands 15 default group tacacs+ none
!對等級 15 的命令進行授權
接着在 Cisco Secure ACS 的“group setup”中按照要求設置組的權限。 點擊“group setup”,選擇“normal”組,點擊“Edit Settings”
如上圖所示,在 TACACS +選項組中選擇“shell(exec)”,並且將“privilege Level”設 置爲 15。
如上圖所示,在“Shell Command Authorization Set”中設置該組所能執行的命令以及參 數,最後點擊“Submit + Restart”。
“super ”組 的權限設置 和“normal ”組基本類 似,唯獨不 同的就是“ Shell Command
Authorization Set”部分,下圖顯示了 normal 組的“Shell Command Authorization Set”設置
OK,一切準備OK,該測試了!
當user1登錄時
R1#show interface
FastEhernet0/0 is up, line protocol is up
R1#show ip route
192.168.17.0/24 is directly connected, FastEthe
192.168.16.0/24 is directly connected, FastEthe
R1#show run
command authorization failed
可以看到在group中沒有允許的命令就不能用!
然後用user2測試,所有命令都能用,這裏俺就不貼圖了
然後就是審計實驗
Router(config)# aaa accounting exec default start-stop group tacacs+
//對用戶的登陸進行審計
Router(config)# aaa accounting commands 1 default start-stop group tacacs+ Router(config)# aaa accounting commands 15 default start-stop group tacacs+
//對用戶所使用的命令進行審計
完成設置後,在 ACS 的管理頁面上點擊“Report and activity”,可以看到以下界面:
其中“TACACS + Accounting”中記錄了用戶登陸的記錄,“TACACS + Administration”中 記錄了用戶曾經使用的命令記錄,如下圖所示:
OK實驗完畢
