Не могу понять один момент в настройке авторизации.Кусок типичного конфига:
aaa authorization config-commands
aaa authorization exec default group tacacs+ local
aaa authorization commands 1 default group tacacs+
aaa authorization commands 15 default group tacacs+ localПочему для первой команды не указываются группы, на которые распространяется действие команды? Я ведь правильно понимаю - эти команды можно перевести на человеческий язык как "разрешить <команду> для <пользователя>"?
Не могу согласиться с "типичностью" конфига.Я бы предложил немного другой:
aaa authentication login default group tacacs+ local
aaa authorization config-commands
aaa authorization exec default group tacacs+ if-authenticated
aaa authorization commands 15 default group tacacs+ if-authenticated
Ну ведь совсем не об этом вопрос. Я только про авторизацию для config-commands спрашивал, остальное для сравнения.
config-commands "включает" авторизацию для режима конфигурирования (используя кстати 15 лвл).
Я уточню на всякий случай, чтобы никто не запутался - config-commands включает не авторизацию входа в режим в конфигурирования, а авторизацию самих команд режима конфигурирования. Так как некоторые команды одинаковы для режима config и для режима exec, то чтобы выделить, например, последние, можно отключить авторизацию команд config-режима.Вот цитата с cisco.com:
If aaa authorization commands level method command is enabled, all commands, including configuration commands, are authorized by AAA using the method specified. Because there are configuration commands that are identical to some EXEC-level commands, there can be some confusion in the authorization process. Using the no aaa authorization config-commands command stops the network access server from attempting configuration command authorization.--
Но всё равно не понятно, почему эта авторизация отключается только для всех сразу, и нельзя её отключить для кого-то конкретного.