سوال در مورد authorization در ACS

[sa_n]

سلام
من یک یوزر ساختم تو ACS
privilege 15
گزینه shell exec هم فعال کردم

بعد تو قسمت per user command authorization
در قسمت command نوشتم configure
توی argument هم نوشتم permit terminal
unmatched cisco ios هم deny زدم
در روتر هم دستورات زیر رو زدم

aaa new-model
aaa authentication login tac gruop tacacs + local
aaa authorization exec tac group tacacs+ local
aaa authorization command 15 tac group tacacs+ local

line vty 0 4
login authentication tac
authorization exec tac
authorization command 15

سرور tacacs هم به روتر معرفی کردم .
الان یوزری که ساختم باید فقط بتونه وارد configure terminal بشه که وارد میشه ولی دستورات دیگه رو اجازه نباید داشته باشه در صورتیکه دستوارت دیگه هم می تونم تایپ کنم . میشه بگید اشکال کارم کجاست ؟
authorization هم تازمانیکه توی command دستور configure رو نزنم و argument هم permit terminal نزنم اجازه ورود به configure terminal داده نمیشه . ولی به محضی که دستور فوق رو توی acs می زنم یوزر وارد مد global میشه وای به بقیه دستور ها هم دسترسی داره

با تشکر

---

موضوعات مشابه:

• vmware authorization service
• مشکل Authorization یوزرهای دومین در آیزا بعد از ریست کردن
• چگونگی لاگ زدن فرامین در authorization server
• Authentication, Authorization and Accounting
• اساتيد لطفا Authorization Failures چيست

---

[EVERAL]

سلام
من با ACS کار نکردم اما همانطور که می دونی تو خود روتر می تونی سطح دسترسی و تعریف کنی ؛
مطمئناً دیوایس هات زیادن ...

من یک یوزر ساختم تو ACS
privilege 15

اگه با privilege 15 بوزر و تعریف کردی یعنی سطح دسترسی admin بهش دادی و یوزر با سطح دسترسی ادمین به روتر کانکت می شه ؛
تو روتر دستور به اینصورته :

کد:

R1(config)#username ali privilege 0 secret ali

یوز و پسورد ali ؛ privilege 0,1 (تعریف user با permission محدود) .
برای telnet :

کد:

R1(config)#line vty 0 4
 R1(config-line)#login local 
 R1(config-line)#exit 
 R1(config)#

این کانفیگ (ACS )هم نگاه کن شاید کمک کنه :

کد:

aaa new-model
  aaa authentication login default group tacacs+ local
  aaa authentication enable default group tacacs+ enable
  aaa authorization commands 15 default group tacacs+ local
  tacacs-server host 192.168.1.1
  tacacs-server key testkey

و

کد:

aaa new-model ! aaa authentication login default group tacacs+ local aaa authentication login CONSOLE local aaa authentication enable default none ! aaa authorization config-commands aaa authorization commands 0 default group tacacs+ local aaa authorization commands 1 default group tacacs+ local aaa authorization commands 15 default group tacacs+ local ! aaa accounting exec default start-stop group tacacs+ aaa accounting commands 0 default start-stop group tacacs+ aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ aaa accounting connection default start-stop group tacacs+ ! line c 0 login authentication CONSOLE ! tacacs-server host 192.168.1.1 ! aaa group server tacacs+ ACS server name ACS server 192.168.1.1 !

[sa_n]

ممنون
با زدن دستور aaa authorization config-commands در روتر مشکلم حل شد .