文档介绍:ACS外壳命令授权集在IOS和ASA/PIX/FWSM上的配置示例的
内容
前言
前提条件
      需求
      使用的组件
      惯例
命令授权集
添加 Shell 命令授权集
      方案 1: 读写访问权限或完全访问权限
      方案 2: 只读访问权限
      方案 3: 受限访问权限
将 Shell 命令授权集与用户组关联
      将 Shell 命令授权集(ReadWrite Access) 与用户组(Admin Group) 关联
      将 Shell 命令授权集(ReadOnly Access) 与用户组(Read-Only Group) 关联
将 Shell 命令授权集(ess) 与用户关联
IOS 路由器配置
ASA/PIX/FWSM 配置
相关信息
前言
本文档介绍了如何在 Cisco 安全访问控制服务器(ACS) 中为 AAA 客户端(例如 IOS 路由器或交换机,以及以 TACACS+ 作为授权
协议的 Cisco 安全设备(ASA/PIX/FWSM))配置 Shell 授权集。
注意: ACS Express 不支持命令授权。
前提条件
需求
本文档假设 AAA 客户端和 ACS 中均已设置基本配置。
在 ACS 中,请选择 Interface Configuration > Advanced Options,并确保 Per-user TACACS+/RADIUS Attributes 复选框已选
中。
使用的组件
本文档中的信息基于运行软件版本 及更高版本的 Cisco 安全访问控制服务器(ACS)。
本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您在一个
工作网络中操作,在使用之前请确认您已经理解所有指令的潜在影响。
惯例
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
命令授权集
命令授权集提供了一种中央控制机制,用于控制在任意给定网络设备上发出的每个命令的授权。此功能极大地增强了设置授权限制
所需要的可扩展性和可管理性。
在 ACS 中,默认的命令授权集包括 Shell 命令授权集和 PIX 命令授权集。 Cisco 设备管理应用程序(例如 CiscoWorks
Management Center for Firewalls)可以指示 ACS 支持其他命令授权集类型。
注意: PIX 命令授权集要求 TACACS+ 命令授权请求将服务标识为 pixshell。请验证您的防火墙所使用的 PIX OS 版本中是否已实
施此服务; 如果没有,请使用 Shell 命令授权集为 PIX 设备执行命令授权。有关详细信息,请参阅为用户组配置 Shell 命令授
权集。
注意: 截至 PIX OS 版本 ,pixshell 服务尚未实施。
注意: Cisco安全设备(ASA/PIX)当前不允许用户是已拨直接地到Enable模式在登录期间。用户必须手工开始Enable模式。
为了更好地控制设备托管的 管理会话,使用 TACACS+ 的网络设备可以请求对每个命令行进行授权然后再执行。您可以定义