8.4.2　コマンド承認の確認

ログイン後，show whoamiコマンドでコマンドリストが設定されていること，コマンドを実行して制限または許可していることを確認してください。

図8‒31　コマンドクラスallcommandを使用した場合の確認例
> show whoami Date 20XX/01/07 12:00:00 UTC staff ttyp0 ----- 2 Jan 6 14:17 (10.10.10.10) Home-directory: /usr/home/staff Authentication: TACACS+ (Server 192.168.10.1) Class: allcommand Allow: "all" Deny : ----- Command-list: ----- > > show clock <-1 Wed Jan 7 12:00:10 UTC 20XX > /bin/date <-2 The command is not authorized by the RADIUS/TACACS+ server or the configuration. >

図8‒31　コマンドクラスallcommandを使用した場合の確認例

> show whoami
Date 20XX/01/07 12:00:00 UTC
staff ttyp0    -----  2   Jan  6 14:17 (10.10.10.10)
 
Home-directory: /usr/home/staff
Authentication: TACACS+ (Server 192.168.10.1)
Class: allcommand
      Allow: "all"
      Deny : -----
Command-list: -----
>
> show clock                                                <-1
Wed Jan 7 12:00:10 UTC 20XX
> /bin/date                                                 <-2
The command is not authorized by the RADIUS/TACACS+ server or the configuration.
>

コマンドが許可されます。
コマンドが制限されます。

図8‒32　コマンドリストで運用コマンドを制限した場合の確認例
>show whoami Date 20XX/01/07 12:00:00 UTC guest ttyp0 ----- 2 Jan 6 14:17 (10.10.10.20) Home-directory: /usr/home/guest Authentication: RADIUS (Server 192.168.10.1) Class: ----- Command-list: Allow: ----- Deny : "enable,reload,inactivate" > > show clock <-1 Wed Jan 7 12:00:10 UTC 20XX > reload <-2 The command is not authorized by the RADIUS/TACACS+ server or the configuration. >

図8‒32　コマンドリストで運用コマンドを制限した場合の確認例

>show whoami
Date 20XX/01/07 12:00:00 UTC
guest ttyp0    -----  2   Jan  6 14:17 (10.10.10.20)
 
Home-directory: /usr/home/guest
Authentication: RADIUS (Server 192.168.10.1)
Class: -----
Command-list:
      Allow: -----
      Deny : "enable,reload,inactivate"
>
> show clock                                                <-1
Wed Jan 7 12:00:10 UTC 20XX
> reload                                                    <-2
The command is not authorized by the RADIUS/TACACS+ server or the configuration.
>

コマンドが許可されます。
コマンドが制限されます。

図8‒33　特定のコマンド文字列に合致するコマンドを許可した場合の確認例
>show whoami Date 20XX/01/07 12:00:00 UTC test ttyp0 ----- 2 Jan 6 14:17 (10.10.10.30) Home-directory: /usr/home/test Authentication: LOCAL Class: ----- Command-list: Allow: "show ip " Deny : ----- > > show ip arp <-1 > show ipv6 neighbors <-2 The command is not authorized by the RADIUS/TACACS+ server or the configuration. >

図8‒33　特定のコマンド文字列に合致するコマンドを許可した場合の確認例

>show whoami
Date 20XX/01/07 12:00:00 UTC
test ttyp0    -----  2   Jan  6 14:17 (10.10.10.30)
 
Home-directory: /usr/home/test
Authentication: LOCAL
Class: -----
Command-list:
      Allow: "show ip "
      Deny : -----
>
> show ip arp                                               <-1
> show ipv6 neighbors                                       <-2
The command is not authorized by the RADIUS/TACACS+ server or the configuration.
>

コマンドが許可されます。
コマンドが制限されます。

8.4.2 コマンド承認の確認

8.4.2　コマンド承認の確認