aaa authorization commands
RADIUSサーバ,TACACS+サーバ,またはローカル(コンフィグレーション)によるコマンド承認を行う場合に指定します。
なお,次に示す場合は,ログイン後にlogout,exit,quit,disable,end,set terminal,show whoamiおよびwho am i以外のすべてのコマンドが制限されて,コマンドが投入できなくなるのでご注意ください。
-
RADIUSサーバまたはTACACS+サーバでの認証時にベンダー固有属性や属性値としてコマンドクラスまたはコマンドリストが取得できない場合
-
ローカルパスワードでの認証時にユーザ名とそれに対応したコマンドクラス(username view-class)またはコマンドリスト(username view・parser view・commands exec)の設定がない場合
[入力形式]
- 情報の設定・変更
-
aaa authorization commands default <method> [<method> [<method>] ]
- 情報の削除
-
no aaa authorization commands
[入力モード]
(config)
[パラメータ]
- default <method> [<method> [<method>] ]
-
コマンド承認時に使用する方式を<method>に指定します。
<method>には次を設定します。同一のmethodは複数設定できません。
- group radius
-
RADIUSサーバによるコマンド承認を行います。
- group tacacs+
-
TACACS+サーバによるコマンド承認を行います。
- local
-
ローカルによるコマンド承認を行います。
[コマンド省略時の動作]
コマンド承認を行いません。
[通信への影響]
なし
[設定値の反映契機]
設定値変更後,次回ログイン時から反映されます。
[注意事項]
-
本設定を行うと,aaa authentication loginコマンドで指定したRADIUSサーバ,TACACS+サーバ,またはローカルパスワードでの認証と同時に,コマンドクラスまたはコマンドリストを取得しコマンド承認を行います。本コマンドだけを設定してもコマンド承認は行いません。aaa authentication loginコマンドも設定してください。
-
次に示す場合は,ログイン後にlogout,exit,quit,disable,end,set terminal,show whoamiおよびwho am i以外のすべてのコマンドが制限されて,コマンドが投入できなくなるのでご注意ください。
-
RADIUSサーバまたはTACACS+サーバでの認証時にベンダー固有属性や属性値としてコマンドクラスまたはコマンドリストが取得できない場合
-
ローカルパスワードでの認証時にユーザ名とそれに対応したコマンドクラス(username view-class)またはコマンドリスト(username view)の設定がない場合
-
[関連コマンド]
radius-server host
tacacs-server host
aaa authentication login
aaa authorization commands console
parser view
commands exec
username