07-安全配置命令 知认证失败,则不使用其它的认证方法。若希望即使所有的认证方法都返回失败,认证 仍然成功,则可以把none指定为命令行的最后一个认证方法 另外,如果使用 RADIUS或 TACACS+方式进行 enable认证,使用的用户名不同,使用 RADIUS认证时,用户名为$ ENABLElevel,其中leve是指用户要进入的特权级别:使 用 TACACS+认证时,用户名为该用户登录路由器时使用的用户名,相关的具体配置请参 照“AAA认证配置”文档中相关章节。 表1:AAA认证的有效缺省方法。 关键字 描述 使用服务器组进行认证。 使用服务器组进行认证,但当用户指定使用某台服务器后,此 服务器组失效 enable 使用 enable口令进行认证。 使用线路口令进行认证 none 认证无条件通过 acacst 使用 TACACS+进行认证 使用 RADIUS进行认证 示例 下面的示例创建一张认证列表,该列表首先尝试与 TACACS+服务器联系。如果没有发现 TACACS+服务器或服务器返回错误,AAA尝试使用 enable口令。如果这种尝试也返回 错误(由于服务器上没有配置有效的口令),则允许用户不经认证就可以访问服务器 aaa authentication enable default tacacs+ enable none 相关命令 enable password 1.1.2 aaa authentication login 要设置在登录时进行AAA认证,使用全局配置命令 aaa authentication login。使用本命 令的no形式关闭AAA认证。 aaa authentication login (default list-name) method1 [method2.] no aaa authentication login default list-name) method1 [method.] 参数 参数说明 default 使用跟随在该参数后面所列的认证方法作为用户注册时缺省的方法列表
07-安全配置命令 知认证失败,则不使用其它的认证方法。若希望即使所有的认证方法都返回失败,认证 仍然成功,则可以把 none 指定为命令行的最后一个认证方法。 另外,如果使用 RADIUS 或 TACACS+方式进行 enable 认证,使用的用户名不同,使用 RADIUS 认证时,用户名为$ENABLElevel$,其中 level 是指用户要进入的特权级别;使 用 TACACS+认证时,用户名为该用户登录路由器时使用的用户名,相关的具体配置请参 照“AAA 认证配置 ”文档中相关章节。 表 1:AAA 认证的有效缺省方法。 关键字 描述 group 使用服务器组进行认证。 group-restrict 使用服务器组进行认证,但当用户指定使用某台服务器后,此 服务器组失效。 enable 使用enable口令进行认证。 line 使用线路口令进行认证。 none 认证无条件通过。 tacacs+ 使用TACACS+进行认证。 radius 使用RADIUS进行认证。 示例 下面的示例创建一张认证列表,该列表首先尝试与 TACACS+服务器联系。如果没有发现 TACACS+服务器或服务器返回错误,AAA 尝试使用 enable 口令。如果这种尝试也返回 错误(由于服务器上没有配置有效的口令),则允许用户不经认证就可以访问服务器。 aaa authentication enable default tacacs+ enable none 相关命令 enable password 1.1.2 aaa authentication login 要设置在登录时进行 AAA 认证,使用全局配置命令 aaa authentication login。使用本命 令的 no 形式关闭 AAA 认证。 aaa authentication login {default | list-name} method1 [method2...] no aaa authentication login {default | list-name} method1 [method2...] 参数 参数 参数说明 default 使用跟随在该参数后面所列的认证方法作为用户注册时缺省的方法列表 - 2 -
07-安全配置命令 list-name 用来命名认证方法列表的字符串,用户登录时将激活认证方法列表中所列的 方法 method 至少为表2中描述的关键字之一。 缺省 如果没有设置 default方式列表,则缺省不进行认证。此时,它与下面的命令具有同样的 效果 aaa authentication login default none 命令模式 全局配置态 使用说明 使用 aaa authentication login命令创建的缺省列表或其他命名列表将由命令 login authentication作用于某一具体线路 只有前面的方法返回错误时,才使用其它的认证方法,如果前面的认证方法返回失败 则不使用其它的认证方法。要确保即使所有的方法都返回错误仍能认证成功,可将none 指定为该命令行的最后方法 如果没有给某条线路特别设置认证,缺省时不执行任何认证 表2:AAA认证的注册方法 关键字 描述 enable 使用 enable口令进行认证 使用服务器组进行认证 使用服务器组进行认证,但当用户指定使用某台服务器后,此 group-restrict 服务器组失效 e 「使用mne密码进行认证 local 使用本地用户名数据库进行认证 ocak-case 使用本地用户名数据库进行认证(用户名区分大小写) 不进行认证 使用 RADIUS进行认证。 tacacs+ 使用 TACACS+进行认证
07-安全配置命令 list-name 用来命名认证方法列表的字符串,用户登录时将激活认证方法列表中所列的 方法 method 至少为表2中描述的关键字之一。 缺省 如果没有设置 default 方式列表,则缺省不进行认证。此时,它与下面的命令具有同样的 效果: aaa authentication login default none 命令模式 全局配置态 使用说明 使用 aaa authentication login 命令创建的缺省列表或其他命名列表将由命令 login authentication 作用于某一具体线路。 只有前面的方法返回错误时,才使用其它的认证方法,如果前面的认证方法返回失败, 则不使用其它的认证方法。要确保即使所有的方法都返回错误仍能认证成功,可将 none 指定为该命令行的最后方法。 如果没有给某条线路特别设置认证,缺省时不执行任何认证。 表 2:AAA 认证的注册方法 关键字 描述 enable 使用enable口令进行认证。 group 使用服务器组进行认证。 group-restrict 使用服务器组进行认证,但当用户指定使用某台服务器后,此 服务器组失效。 line 使用line密码进行认证。 local 使用本地用户名数据库进行认证 。 local-case 使用本地用户名数据库进行认证(用户名区分大小写) 。 none 不进行认证 。 radius 使用RADIUS进行认证 。 tacacs+ 使用TACACS+进行认证 。 - 3 -
07-安全配置命令 示例 下面的示例创建一张名为“TEST”的AAA认证方法列表。这个认证首先尝试与 TACACS+ 服务器联系。如果没有发现服务器或 TACACS+返回错误,AAA尝试使用 enable口令。 如果这种尝试也返回错误(由于路由器上没有配置 enable口令),则允许该用户不经认 证访问网络。 aaa authentication login tEST tacacs+ enable none 下面的示例创建同样的列表,但设置了缺省列表,如果没有指定其它列表,所有登录认 证均使用这个列表: la authentication login default tacacs+ enable none 相关命令 1.1.3 aaa authentication password-prompt 要改变向用户提示输入口令时的文本显示,使用全局配置命令 aaa authentication password- prompt。使用该命令的no形式重新使用缺省的口令提示文本。 aaa authentication password- prompt text-string no aaa authentication password- prompt text-string 参数 参数 参数说明 test-string 向用户提示输入口令时将要显示的文本 缺省 没有用户定义的 text-string时,口令提示为“ Password:"。 命令模式 全局配置态 使用说明 使用 aaa authentication password- prompt命令可改变向用户提示输入口令时显示的缺省 文字信息。这条命令不但改变 enable口令的口令提示,也改变登录口令的口令提示。该 命令的no形式将口令提示改回到缺省值 Password
07-安全配置命令 示例 下面的示例创建一张名为“TEST”的 AAA 认证方法列表。这个认证首先尝试与 TACACS+ 服务器联系。如果没有发现服务器或 TACACS+返回错误,AAA 尝试使用 enable 口令。 如果这种尝试也返回错误(由于路由器上没有配置 enable 口令),则允许该用户不经认 证访问网络。 aaa authentication login TEST tacacs+ enable none 下面的示例创建同样的列表,但设置了缺省列表,如果没有指定其它列表,所有登录认 证均使用这个列表: aaa authentication login default tacacs+ enable none 相关命令 无 1.1.3 aaa authentication password-prompt 要改变向用户提示输入口令时的文本显示,使用全局配置命令 aaa authentication password-prompt。使用该命令的 no 形式重新使用缺省的口令提示文本。 aaa authentication password-prompt text-string no aaa authentication password-prompt text-string 参数 参数 参数说明 test-string 向用户提示输入口令时将要显示的文本。 缺省 没有用户定义的 text-string 时,口令提示为“Password:”。 命令模式 全局配置态 使用说明 使用aaa authentication password-prompt命令可改变向用户提示输入口令时显示的缺省 文字信息。这条命令不但改变 enable 口令的口令提示,也改变登录口令的口令提示。该 命令的 no 形式将口令提示改回到缺省值: Password: - 4 -
07-安全配置命令 aaa authentication password-prompt命令不改变由远程 TACACS+或 RADIUS服务器提 供的任何提示信息 示例 下面的示例将口令提示修改为“ Your Password:” aaa authentication password-prompt YourPassword 相关命令 aaa authentication enable password 1.1.4 aaa authentication ppp 要指定一种或者多种用于运行PPP的串行接口的AAA认证方法,可以使用全局配置命 令 aaa authentication ppp。使用该命令的no形式关闭认证。 aaa authentication ppp( default list-name) method1 [method2. no aaa authentication ppp (default list-name) method1 [method2. 参数 参数 参数说明 default 将跟随在该参数后面所列的认证方法作为用户注册时使用的缺省认证方法 list-name 用来命名认证方法列表的字符串: mehod 至少为表3中描述的方法之一。 [method2.] 缺省 如果没有设置 default.,则检查本地用户数据库进行认证,它与下面的命令具有相同的效 果 aaa authentication ppp default local 命令模式 全局配置态
07-安全配置命令 aaa authentication password-prompt 命令不改变由远程 TACACS+或 RADIUS 服务器提 供的任何提示信息。 示例 下面的示例将口令提示修改为“YourPassword:”: aaa authentication password-prompt YourPassword: 相关命令 aaa authentication username-prompt enable password 1.1.4 aaa authentication ppp 要指定一种或者多种用于运行 PPP 的串行接口的 AAA 认证方法,可以使用全局配置命 令 aaa authentication ppp。使用该命令的 no 形式关闭认证。 aaa authentication ppp {default | list-name} method1 [method2...] no aaa authentication ppp {default | list-name} method1 [method2...] 参数 参数 参数说明 default 将跟随在该参数后面所列的认证方法作为用户注册时使用的缺省认证方法; list-name 用来命名认证方法列表的字符串; mehod1 [method2...] 至少为表3中描述的方法之一。 缺省 如果没有设置 default,则检查本地用户数据库进行认证,它与下面的命令具有相同的效 果: aaa authentication ppp default local 命令模式 全局配置态 - 5 -
07-安全配置命令 使用说明 使用 aaa authentication ppp命令创建的缺省列表和命名列表在 ppp authentication命令 中引用。这些列表至多能够包含四种认证方法,用户连接到该串行接口时使用这些认证 方法。 通过输入 aaa authentication ppp list-name method命令来创建列表,其中 list-name是 用来命名该列表的任何字符串。参数 method指定具体认证方法,认证过程按配置次序使 用这些方法。可以至多输入四种方法。方法关键字在表3中描述。 只有在前面的方法返回错误时,才使用其它的认证方法,如果前面的方法返回的结果是 认证失败,则不再使用其它的认证方法。在命令行中指定nne作为最后的方法,则即使 所有的方法均返回错误,仍能认证成功 表3:AAA认证的PPP方法 描述 group 使用服务器组进行认证 使用服务器组进行认证,但当用户指定使用某台服务器后,此服务器 group-restrict 组失效 使用本地用户名数据库进行认证 ocal-case 使用本地用户名数据库进行认证(用户名区分大小写)。 不进行认证 adis 使用 RADIUS进行认证 使用 TACACS+进行认证 示例 下面的示例为使用PPP的串行线路创建一个名为“TEsT”的AAA认证列表。这种认证 首次尝试与 TACACS+服务器联系。如果返回错误,则允许用户不经认证访问网络 aaa authentication ppp TEST tacacs+ none 相关命令 ppp authentication 1.1.5 aaa authentication username-prompt 要改变向用户提示输入用户名时的文本显示,使用全局配置命令 aaa authentication username-prompt。使用该命令的no形式返回到缺省的用户名提示字符串 aaa authentication username-prompt text-string no aaa authentication username-prompt text-string
07-安全配置命令 使用说明 使用 aaa authentication ppp 命令创建的缺省列表和命名列表在 ppp authentication 命令 中引用。这些列表至多能够包含四种认证方法,用户连接到该串行接口时使用这些认证 方法。 通过输入 aaa authentication ppp list-name method 命令来创建列表,其中 list-name 是 用来命名该列表的任何字符串。参数 method 指定具体认证方法,认证过程按配置次序使 用这些方法。可以至多输入四种方法。方法关键字在表 3 中描述。 只有在前面的方法返回错误时,才使用其它的认证方法,如果前面的方法返回的结果是 认证失败,则不再使用其它的认证方法。在命令行中指定 none 作为最后的方法,则即使 所有的方法均返回错误,仍能认证成功。 表 3:AAA 认证的 PPP 方法 。 关键字 描述 group 使用服务器组进行认证 group-restrict 使用服务器组进行认证,但当用户指定使用某台服务器后,此服务器 组失效。 local 使用本地用户名数据库进行认证。 local-case 使用本地用户名数据库进行认证(用户名区分大小写) 。 none 不进行认证 。 radius 使用RADIUS进行认证 。 tacacs+ 使用TACACS+进行认证 。 示例 下面的示例为使用 PPP 的串行线路创建一个名为“TEST”的 AAA 认证列表。这种认证 首次尝试与 TACACS+服务器联系。如果返回错误,则允许用户不经认证访问网络。 aaa authentication ppp TEST tacacs+ none 相关命令 ppp authentication 1.1.5 aaa authentication username-prompt 要改变向用户提示输入用户名时的文本显示,使用全局配置命令 aaa authentication username-prompt。使用该命令的 no 形式返回到缺省的用户名提示字符串。 aaa authentication username-prompt text-string no aaa authentication username-prompt text-string - 6 -