Что это такое?

Это расширенная политика аутентификации и авторизации для входа через Web-интерфейс.

Зачем это нужно?

Для контроля доступа на устройство. В отличие от стандартной политики login, данная реализация в сочетании с TACACS+ обеспечивает доступ для пользователей, не определённых локально на устройстве. Для авторизации (определения полномочий) такого пользователя предусмотрены два варианта:

• Авторизация по ролевой модели (в терминологии NSG) или уровням привилегий (в терминах Cisco) сообразно ролям, определённым на устройстве NSG.
• Авторизация на исполнение каждой команды в соответствии с правилами, заданными для данного пользователя на сервере TACACS+. Применимо также к пользователям, определённым локально на устройстве NSG.

Как это настроить?

Для добавления нового способа аутентификации в рамках данной политики используйте команды +, _new или _insert. Данный список является нумерованным и упорядочивается автоматически. Для удаления используйте команду - или _remove.

Чтобы использовать политику http-server, её необходимо включить в настройках сервера HTTP/HTTPS.

Ключевой особенностью данной политики (а также аналогичной политики cisco-like-ssh для консольного интерфейса) является параметр per-command-auth при аутентификации по TACACS+. См. справку по этому параметру.

ВНИМАНИЕ! В случае покомандной авторизации (per-command-auth = true) для работы Web-интерфейса, в отличие от CLI, необходимо выполнить дополнительную настройку: разрешить чтение полной конфигурации.

Подробнее о нелокальных пользователях и покомандной авторизации…

Что делать, если это не работает?

1. Проверить правильность записи имён и паролей.
2. Проверить настройки серверов TACACS+.
3. Проверить наличие маршрутов к серверам TACACS+ и обратно от них на данное устройство, их доступность по сети.
4. Смотреть журналы серверов TACACS+.