Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: _common-nodes.aaa-POLICY.NUM.type

Что это такое?

Это выбор источника аутентификации.

Зачем это нужно?

Чтобы выбирать между аутентификацией по локальной таблице пользователей, на централизованном сервере RADIUS/TACACS+, или безусловным отказом.

Как это настроить?

local
По локальному списку пользователей на данном устройстве (кроме политики PPP). Устаревшая настройка, сохранена для совместимости с имеющимися конфигурациями.
Имена и пароли системных пользователей задаются в узле users. Для пользователей PPP имена и пароли задаются в отдельных таблицах ppp-secrets.
strict local
По локальному списку, но с использованием более строгих процедур. Рекомендуется для всех новых инсталляций.
radius
По централизованному серверу RADIUS.
tacacs
По централизованному серверу TACACS+.
deny
Отказать в аутентификации безусловно. Этот режим используется, например, чтобы временно отключить данный способ аутентификации, не удаляя существующих настроек.

Для аутентификации по RADIUS/TACACS+ далее необходимо настроить IP-адрес сервера и пароль для доступа на него.

ПРИМЕЧАНИЕ. В данной версии NSG Linux при аутентификации по TACACS+ в запросе указываются различные значения полей service и protocol в зависимости от выбранной политики:
default нет
login service=exec
ppp нет
reverse-telnet service=raccess, protocol=none
ssh service=exec

Пример настройки сервера TACACS+:
# You must configure tac_plus before use.  At a minimum, you need a server
# key and a user block, such as below.
#
# Please see tac_plus.conf(5) for more information.

key = nsg

host = 192.168.1.2 {
  key = nsg
}

# A user for reverse-telnet access to given ports

user = mypoopyreversetelnetuser {
  pap   = cleartext mypoopyreversetelnetpassword
  service = raccess {
    port = a2, a4
  }
}

# A user for administrative access:

group = admin {
       default service = permit
       service = exec {
         priv-lvl = 15
       }
}

user = mypoopyadminuser {
  pap = cleartext mypoopyadminpassword
  member = admin
}

При этом на устройстве NSG в узле system.users должны быть созданы пользователи с именами mypoopyreversetelnetuser и mypoopyadminuser, соответственно, и фиктивными паролями.


© Network Systems Group 2015–2024 Отдел документации