Общие сведения о системе
Дерево команд
Сетевые технологии
Аппаратная часть
Немного линукса
Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: _common-nodes.aaa-POLICY
DIR
IMPORTED-NODE
aaa-POLICY
adm-state
bond-group
bridge-group
debug-level
description
event-generator
ifAddress
ip
launch
link
macvlan
mpls-in
netflow
netns
phy
port
ppp
show
sms-handler
tcp
udp
vlan
vrrp
.NUM
NUM
.type
auth_err
port
secret
server
timeout
type

Что это такое?

Это выбор источника аутентификации.

Зачем это нужно?

Чтобы выбирать между аутентификацией по локальной таблице пользователей, на централизованном сервере RADIUS/TACACS+, или безусловным отказом.

Как это настроить?

local
По локальному списку пользователей на данном устройстве (кроме политики PPP). Устаревшая настройка, сохранена для совместимости с имеющимися конфигурациями.
Имена и пароли системных пользователей задаются в узле users. Для пользователей PPP имена и пароли задаются в отдельных таблицах ppp-secrets.
strict local
По локальному списку, но с использованием более строгих процедур. Рекомендуется для всех новых инсталляций.
radius
По централизованному серверу RADIUS.
tacacs
По централизованному серверу TACACS+.
deny
Отказать в аутентификации безусловно. Этот режим используется, например, чтобы временно отключить данный способ аутентификации, не удаляя существующих настроек.

Для аутентификации по RADIUS/TACACS+ далее необходимо настроить IP-адрес сервера и пароль для доступа на него.

ПРИМЕЧАНИЕ. В данной версии NSG Linux при аутентификации по TACACS+ в запросе указываются различные значения полей service и protocol в зависимости от выбранной политики:
default нет
login service=exec
ppp нет
reverse-telnet service=raccess, protocol=none
ssh service=exec
Пример настройки сервера TACACS+: 
# You must configure tac_plus before use.  At a minimum, you need a server
# key and a user block, such as below.
#
# Please see tac_plus.conf(5) for more information.

key = nsg

host = 192.168.1.2 {
  key = nsg
}

# A user for reverse-telnet access to given ports

user = mypoopyreversetelnetuser {
  pap   = cleartext mypoopyreversetelnetpassword
  service = raccess {
    port = a2, a4
  }
}

# A user for administrative access:

group = admin {
       default service = permit
       service = exec {
         priv-lvl = 15
       }
}

user = mypoopyadminuser {
  pap = cleartext mypoopyadminpassword
  member = admin
}

При этом на устройстве NSG в узле system.users должны быть созданы пользователи с именами mypoopyreversetelnetuser и mypoopyadminuser, соответственно, и фиктивными паролями.

© Network Systems Group 2015–2024 Отдел документации