Для перемещения по дереву справки используйте строки заголовка.
Это политика аутентификации и авторизации для входа на устройство через Cisco-подобный сервер SSH.
Для контроля доступа на устройство. В отличие от стандартного сервиса SSH в ОС Linux, данная реализация в сочетании с TACACS+ обеспечивает доступ для пользователей, не определённых локально на устройстве. Для авторизации (определения полномочий) такого пользователя предусмотрены два варианта:
Для добавления нового способа аутентификации в рамках данной политики используйте команды +, _new или _insert. Данный список является нумерованным и упорядочивается автоматически. Для удаления используйте команду - или _remove.
Ключевой особенностью данной политики (а также аналогичной политики http-server для Web-интерфейса) является параметр per-command-auth при аутентификации по TACACS+. См. справку по этому параметру.
ПРИМЕЧАНИЕ. Во избежание путаницы с локальными и централизованными пользователями и паролями рекомендуется рассмотреть возможность входа для локальных пользователей (как правило, в такой ситуации это немногочисленные критически важные администраторы, ответственные за само функционирование данного устройства) через стандартный сервис SSH, работающий на отдельном порту TCP, с локальной аутентификацией.
Если пользователю необходим доступ как к портам, так и к конфигурации устройства, то в настройках TACACS+ необходимо указать два сервиса. Пример конфигурации TACACS+ для пользователя, который может работать с асинхронными портами, настраивать их и сохранять настройки:
user = usr2 {
debug = ALL
pap = clear psw2
service = raccess {
}
service = shell {
script = {
if (cmd =~ / port\.a/) permit
}
cmd = write {
permit .*
}
}
}
Подробнее о нелокальных пользователях и покомандной авторизации…
| © Network Systems Group 2015–2026 | Отдел документации |