在IOS XR上运行XML代理

Question

我试图在IOSXR4.2.3 (ASR9K)上配置专用的XML代理。API指南说要做

xml agent
aaa authorization exec default local

我做到了，我可以连接到端口38751上的路由器，但是我得到

telnet 10.1.1.1 38751

Escape character is '^]'.


User Access Verification

Username: aaronw
Password: blah


User Access Verification

Username: aaronw
Password: realpassword
Session start failed :'AAA API' detected the 'fatal' condition
'No method could process the authorisation request'Connection closed by foreign host.

所以，如果我输入了一个假密码，它就会知道它是错误的，不会更进一步，但是当我输入我真正的密码时，我看起来好像缺少了授权引擎和XML引擎之间的某种链接。如果我取出aaa authorizaion默认本地代码，则会得到一个稍微不同的错误：

Session start failed :'AAA API' detected the 'fatal' condition 
'Requested function is     not configured'

我知道链接的API指南是4.1版本，但我找不到同一文档的4.2版本。此外，XML代理(即在#提示符处键入'XML‘)也会按预期工作。

RP/0/RSP0/CPU0:ios#xml echo format 
Tue May 21 20:32:01.802 UTC
XML> exit
RP/0/RSP0/CPU0:ios#

Answer 1

在IOS中，授权的概念与经典的IOS不同。在典型的IOS中，只有命令授权，它允许或拒绝特定的命令，通常发送到tacacs+或radius服务器。在IOS中，有命令授权(aaa授权命令)(但最好通过任务组进行)和exec授权(aaa授权exec)，它们控制谁可以实际启动exec会话。

看来，使用正常的访问方法(ssh/telnet to vtys)似乎表明，如果您经过身份验证，不需要其他授权，但是如果您在自己的专用端口上启动XML代理，则必须授权使用。在我的特定情况下，我们使用TACACS服务器进行身份验证，我指定使用本地授权。路由器上不存在用户名，因此使用本地方法'aaa授权exec默认本地‘会导致授权失败。将其更改为'aaa授权执行组tacacs+ local‘导致它从TACACS服务器获得“授权确定”，一切都很好。