Общие сведения о системе
Дерево команд
Сетевые технологии
Аппаратная часть
Немного линукса
Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: _common-nodes.aaa-POLICY
DIR
IMPORTED-NODE
aaa-POLICY
adm-state
bond-group
bridge-group
debug-level
description
event-generator
ifAddress
ip
launch
link
macvlan
mpls-in
netflow
netns
phy
port
ppp
show
sms-handler
tcp
udp
vlan
vrrp
.NUM
NUM
.per-command-auth
auth_err
per-command-auth
port
secret
server
timeout
type

Что это такое?

Это режим авторизации на сервере TACACS+.

Зачем это нужно?

Для определения прав пользователя, не существующего в системе локально. Также возможна покомандная авторизация для пользователей, существующих локально.

Как это настроить?

Настройка по существу выполняется на стороне сервера TACACS+. В запросе TACACS+ указывается service = shell . Дополнительные параметры внутри этого ключа описаны ниже.

false

Сервер TACACS+ используется для аутентификации пользователя и авторизации нелокального пользователя при входе в систему. При этом:

  • Для пользователей, не существующих локально: на сервере обязательно должен быть указан уровень привилегий/роль, и эта роль (созданная вручную или предустановленная admin, lvl-0lvl-14) должна существовать на устройстве и быть настроена в соответствии с желаемыми полномочиями. Не допускается только роль user. См. пример конфигурации сервера.
  • Для пользователей, существующих локально: на сервере не должен быть указан уровень привилегий/роль пользователя, поскольку ему уже назначена некоторая роль (или индивидуальное дерево конфигурации) на самом устройстве NSG. При этом для входа необходимо использовать пароль, заданный на сервере TACACS+, а не локально на устройстве.
    По существу, такая настройка предусматривает только аутентификацию пользователя (но не авторизацию, поскольку она произведена локально) и аналогична стандатным политикам login и ssh, соответственно.

Установлено как значение по умолчанию для совместимости с унаследованными конфигурациями.

true
При попытке выполнения каждой команды запрашивается авторизация на сервере TACACS+. Применимо ко всем пользователям — как определённым, так и не определённым локально. На сервере для данного пользователя должны быть настроены какие-либо разрешённые команды (в простейшем случае — все). См. пример конфигурации сервера.
По умолчанию (если содержимое ключа shell пустое), пользователю запрещены все команды (в т.ч. и чтение всей конфигурации, без чего Web-интерфейс работать не может).

Для пользователей, не определённых локально, допускается сочетание тех и других настроек:

user = mypoopyuser {
  pap = clear mypoopypassword
  service = shell {
    set priv-lvl = 7
    cmd = get {
      permit .*
    }
    cmd = run {
      deny /^system.audit.show\./
      permit /\.(show|log)/
    }
  }
}

В этом случае, если per-command-auth=true, то клиент будет авторизоваться покомандно по всему дереву конфигурации; priv-lvl не работает. Если per-command-auth=false, то клиент зайдет с ролью, назначеной в priv-lvl или nsg-role (или не зайдет, если ошибка в роли) и покомандной авторизации не будет.

Параметр применим только к политикам, допускающим работу пользователей без локальных учётных записей. В данной версии NSG Linux это cisco-like-ssh и http-server.

Подробнее о нелокальных пользователях и покомандной авторизации

Что делать, если это не работает?

  1. Проверить правильность записи имён и паролей.
  2. Проверить настройки серверов TACACS+.
  3. Проверить наличие маршрутов к серверам TACACS+ и обратно от них на данное устройство, их доступность по сети.
  4. Смотреть журналы серверов TACACS+.
© Network Systems Group 2015–2026 Отдел документации