Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: system.aaa.…далее…

Что это такое?

Это политики аутентификации пользователей в системе.

Зачем это нужно?

Для управления доступом пользователей в систему и к отдельным её компонентам.

Как это настроить?

Аутентификация может быть настроена раздельно для разных задач, например, для незащищённого входа (login) и для входа по SSH.

Для каждой ситуации, которая требует аутентификации, может быть определена отдельная политика. Политика может включать в себя несколько способов, например, по централизованному серверу RADIUS и по локальному списку. Если попытка аутентифицироваться по некоторому способу даёт положительный результат, аутентификация считается завершённой успешно. Если нет — то делается попытка по следующему способу. Если все способы, входящие в данную политику, дали отрицательный результат, то аутентификация считается неудачной.

Если специфическая политика аутентификации не задана, то используется политика default, которая всегда содержит, как минимум, один способ.

ВНИМАНИЕ! Для входа на устройство по локальной таблице необходимо создать в системе локального пользователя с данным именем. Это отдельная операция, поскольку аутентификация — лишь одна из процедур и атрибутов, применяемых к пользователю.
Вновь созданному пользователю, по умолчанию, не доступны никакие команды, так что это не угрожает безопасности системы.

Если требуется, чтобы пользователи аутентифицировались только через централизованный сервер RADIUS или TACACS+, то необходимо cоздать на устройстве всех локальных пользователей с такими же именами, назначить им длинные фиктивные пароли и немедленно забыть их.

При использовании централизованной аутентификации для доступа к асинхронным портам, минуя само устройство, с помощью Cisco-подобного SSH
    ssh USER:LINE@HOST -p PORT
или с помощью Web-терминалов — создание локальных пользователей не требуется.

Что делать, если это не работает?

  1. Проверить правильность записи имён и паролей.
  2. Проверить настройки серверов RADIUS и TACACS+.
  3. Проверить наличие маршрутов к серверам RADIUS, TACACS+ и обратно от них на данное устройство, их доступность по сети.
  4. Смотреть журналы серверов RADIUS и TACACS+.

© Network Systems Group 2015–2024 Отдел документации