Cisco中"aaa授权执行默认组tacacs+“命令的原因？

Question

在具有IOS 12.4(22)T的ISR路由器中，我有以下非常简约的AAA配置：

aaa new-model
aaa authentication login default group tacacs+ enable
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ 
aaa session-id common

身份验证结束后，我进入了特权级别15。现在，如果执行像conf t或show ver这样的命令，路由器就不会咨询TACACS+服务器(我在TACACS+服务器TCP端口49上运行数据包捕获)。aaa authorization exec default group tacacs+到底是做什么的？什么时候发生命令授权？

Answer 1

在我看来，aaa authorization exec default group tacacs+命令强制TACACS+客户端(在我的例子中是Cisco路由器)考虑TACACS+守护进程(tac_plus来自http://www.shrubbery.net/tac_加/)配置文件中的service = exec配置片段。例如：

service = exec {
  priv-lvl = 15
  autocmd = "show version"
}

如果删除aaa authorization exec default group tacacs+命令，我将在权限级别1的IOS中结束，而show version不会自动执行。但是，我希望有一个权威的答案，这个命令还有什么其他的目的吗？

Answer 2

声明

aaa authorization exec default group tacacs+

允许您启动CLI会话(命令shell)。没有它，就无法获得命令提示符。

您可以看到更多信息，这里。。

编辑:出发地：http://www.cisco.com/c/en/us/td/docs/ios/sec_用户_服务/配置/指南/15_0/秒_稳固性_用户_服务_15_零度_书/秒_cfg_authorizatn.html#wp1058237

AAA授权类型Cisco IOS软件支持五种不同类型的授权：·Auth-代理-在每个用户的基础上应用特定的安全策略。有关在何处查找身份验证代理配置文档的更多信息，请参见“相关文档”部分。·命令--适用于执行模式，命令用户发出命令。命令授权尝试对与特定权限级别关联的所有EXEC模式命令(包括全局配置命令)进行授权。·EXEC --应用于与用户EXEC终端会话相关的属性。·网络--适用于网络连接。这可以包括PPP、SLIP或ARAP连接。反向访问-适用于反向Telnet会话。·配置--适用于从AAA服务器下载配置。IP mobile -适用于IP移动服务的授权。

我认为混淆的原因在于不同的TACACS守护进程的响应方式不同。Cisco的响应可能与您的灌木丛守护进程或tacacs.net不同。

以下是一些更多的参考资料，尽管并不完全是您想要的：属性-值对

Answer 3

aaa授权exec默认组tacacs+

https://www.ccexpert.us/cisco-secure/configuring-aaa-authorization.html

aaa授权{auth-proxy分部，网络，exec，exec，命令层，反向访问，反向访问，配置，ipmobile}，{method1，method2，默认列表}

AAA授权通过允许或拒绝访问用户可以启动的网络访问类型(PPP、SLIP、ARAP)、用户可以执行的命令类型等等来控制用户的活动。

exec -应用于用户执行终端会话。

default --使用此参数后面列出的身份验证方法作为默认的方法列表进行授权。

用于命名身份验证方法列表的列表-名称-字符串。

方法-指定以下关键字中的至少一个。

组/组名称使用由aaa组服务器RADIUS或aaa组服务器TACACS+命令定义的radius或aaa服务器的子集进行身份验证。