Tacacs+场景:我可以允许用户只为一个接口配置而拒绝其他接口吗？

Question

我目前正在用思科设备部署TACACS+，我在这里使用TACACS服务器：http://www.shrubbery.net/tac_加/

我的场景是:我希望允许用户配置我的路由器，但只允许为特定的接口配置，即gigabitethernet0 0/0。到达路由器(config-if)#之后，用户可以对该接口做他想做的任何事情，但是他不能更改到另一个接口，也不能更改路由器(Config)#中的配置。

到目前为止，我在tac_plus.conf中的配置如下：

#limited admin group = limitedadmin {
default service = deny
service = shell {
priv-lvl = 15
}
cmd = configure {
permit terminal
}
cmd = interface {
permit "GigabitEthernet 0/0"
}}

这是Cisco配置：

aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login telnet group tacacs+ local
aaa authentication login lokal local enable
aaa authorization config-commands
aaa authorization exec default group tacacs+ local 
aaa authorization exec telnet group tacacs+ 
aaa authorization commands 1 default group tacacs+ local 
aaa authorization commands 15 default group tacacs+ local 
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+

但是，如果没有允许用户在路由器(Config)上进行配置，那么我不能具体地允许该用户在config上进行配置。

我的场景可以使用TACACS+吗？

Answer 1

我相信这是有放松的，但从我作为新人的日子里，我能记住什么，骄傲是建立在命令的感觉上，而不是端口智慧。所执行的命令是定义控件的位置。对于用户x、配置接口、IP或速度，以及对100个接口执行相同的操作，都是相同的信任级别，这是有意义的。

至于配置-如果以继承的方式工作，它会自动继承配置级别的所有priveleges。

 default service = deny
 cmd = interface { permit [faFAgiGI].* }

这将使用户有权发布“接口Gi”。或者“界面法”。我不希望他们有能力发出“接口Te.*”。