2.2.4　RADIUS/TACACS+/ローカルを利用したコマンド承認ができない

RADIUS/TACACS+/ローカル認証は成功して本装置にログインできたが，コマンド承認ができない場合や，コマンドを実行しても承認エラーメッセージが表示されてコマンドが実行できない場合は，次の内容を確認してください。

1. 許可コマンドおよび制限コマンドの確認

   本装置のshow whoamiコマンドで，現在のユーザが許可または制限されているコマンドのリストを確認できます。RADIUS/TACACS+サーバの設定どおりにコマンドリストが取得できていることを確認してください。

   また，ローカルコマンド承認を使用している場合は，コンフィグレーションどおりにコマンドリストが設定されていることを確認してください。

2. サーバ設定およびコンフィグレーションの確認

   RADIUS/TACACS+サーバ側で，本装置のコマンド承認に関する設定が正しいことを確認してください。特に，RADIUSの場合はベンダー固有属性の設定，TACACS+の場合はServiceと属性名などに注意してください。

   また，ローカルコマンド承認を使用している場合は，コンフィグレーションの設定が正しいことを確認してください。RADIUS/TACACS+/ローカル（コンフィグレーション）の設定については，「コンフィグレーションガイド」を参照してください。

   コマンドリスト記述時の注意

   本装置のコマンド承認用のコマンドリストを記述するときには，空白の扱いに注意してください。例えば，許可コマンドリストに"show ip　"（show ipの後ろに空白）が設定してある場合は，show ip interfaceコマンドは許可されますが，show ipv6 interfaceコマンドは制限されます。

3. コマンドがすべて制限された場合の対処方法

   設定ミスなどでコマンドがすべて制限された場合は，コンソールからログインして設定を修正してください。なお，コンフィグレーションコマンドaaa authorization commands consoleによってコンソールもコマンド承認の対象となっている場合は，「2.1.2　装置管理者モードのパスワードを忘れた」の手順に従ってデフォルトリスタートしたあと，ログインして設定を修正してください。