AAA半径特权级别

Question

我已经设置了一个Windows2012Server R2 Radius服务器来与CISCO设备通信。

有两类用户:只具有只读权限(shell:priv-lvl=1)和读/写(shell:priv-lvl=15)。

GNS3上的路由器配置非常简单：

aaa authentication login VTY group RAD1 local
aaa authorization exec AUTH_VTY group RAD1 local if-authenticated

line vty 0 20
 login authentication VTY
 authorization exec AUTH_VTY

因此，我的目标是只读用户只允许只读，读/写用户允许做所有的事情。

但情况却不一样。具有(shell:priv-lvl=15)的用户按其应有的方式进入特权模式。拥有(shell:priv-lvl=1)的用户进入操作模式(>)，在输入"enable“后进入特权模式。

这是一种正常的行为，具有特权1-能够获得启用？也许我的问题只是创建启用密码，对于拥有特权lvl 1的用户来说，这个密码是未知的？

还有第二个问题：

是否需要通过身份验证的命令？根本想不出这点。

谢谢

编辑：

配置如下：

aaa授权exec AUTH_VTY组RAD1本地认证控制台aaa身份验证登录VTY组RAD1本地用户名labas特权15密码0 aaa行VTY 0 20登录验证vty授权行AUTH_VTY一行0登录认证VTY授权exec aaa组服务器radius RAD1服务器-私有10.1.1.1 auth-端口1645 acct端口1646密钥7 13171616021917启用秘密labas

在配置中添加了"if auth“，但它的工作方式与没有关键字的情况完全相同。

Answer 1

“启用”命令是第1级命令。如果您不希望用户执行它，最简单的方法就是不给他们密码。

或者，您可以配置命令授权，但这要复杂得多，特别是在RADIUS中。

如果验证命令与授权一起使用.它绕过授权检查。如果AAA服务器不可用，则通常将其用作备份。