TACACS+- und RADIUS-Attribute für verschiedene Geräte von Cisco und anderen Anbietern - Konfigurationsbeispiel

Download-Optionen

  • PDF     (447.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (246.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (207.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:15. März 2013
Dokument-ID:115926

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument werden die Attribute zusammengefasst, die verschiedene Produkte von Cisco und von Drittanbietern von einem AAA-Server (Authentication, Authorization, Accounting) erwarten. In diesem Fall ist der AAA-Server ein Zugriffssteuerungsserver (Access Control Server, ACS). Der ACS kann diese Attribute zusammen mit einem Access-Accept als Teil eines Shell-Profils (TACACS+) oder eines Autorisierungsprofils (RADIUS) zurückgeben.

Dieses Dokument enthält schrittweise Anweisungen zum Hinzufügen benutzerdefinierter Attribute zu Shell- und Autorisierungsprofilen. Dieses Dokument enthält außerdem eine Liste der Geräte sowie der TACACS+- und RADIUS-Attribute, die die Geräte voraussichtlich vom AAA-Server erhalten. Alle Themen enthalten Beispiele.

Die in diesem Dokument enthaltene Attributliste ist nicht vollständig oder verbindlich und kann jederzeit geändert werden, ohne dass eine Aktualisierung dieses Dokuments erforderlich ist.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der ACS-Version 5.2/5.3.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Erstellen eines Shell-Profils (TACACS+)

Ein Shell-Profil ist ein Container mit grundlegenden Berechtigungen für TACACS+-basierten Zugriff. Mit Access-Accept können Sie angeben, welche TACACS+-Attribute und -Attributwerte zusätzlich zur Cisco® IOS-Berechtigungsebene, dem Sitzungs-Timeout und anderen Parametern zurückgegeben werden sollen.

Gehen Sie wie folgt vor, um einem neuen Shell-Profil benutzerdefinierte Attribute hinzuzufügen:

  1. Melden Sie sich bei der ACS-Schnittstelle an.

  2. Navigieren Sie zu Richtlinienelemente > Autorisierung und Berechtigungen > Geräteadministration > Shell Profiles.

  3. Klicken Sie auf die Schaltfläche Erstellen.

  4. Nennen Sie das Shell-Profil.

  5. Klicken Sie auf die Registerkarte Benutzerdefinierte Attribute.

  6. Geben Sie den Attributnamen in das Feld Attribut ein.

  7. Wählen Sie in der Dropdown-Liste "Anforderung" die Option "Obligatorisch" oder "Optional" aus.

  8. Lassen Sie das Dropdown-Menü für den Attributwert auf Statisch gesetzt. Wenn der Wert statisch ist, können Sie den Wert im nächsten Feld eingeben. Wenn der Wert dynamisch ist, können Sie das Attribut nicht manuell eingeben. Stattdessen wird das Attribut einem Attribut in einem der Identitätsspeicher zugeordnet.

  9. Geben Sie den Wert des Attributs im letzten Feld ein.

  10. Klicken Sie auf die Schaltfläche Hinzufügen, um der Tabelle den Eintrag hinzuzufügen.

  11. Wiederholen Sie den Vorgang, um alle erforderlichen Attribute zu konfigurieren.

  12. Klicken Sie unten im Bildschirm auf Senden.

Konfigurationsbeispiel

Gerät: Application Control Engine (ACE)

Attribut(e): Shell:<Kontextname>

Wert(e): <Rollenname> <Domänenname1>

Verwendung: Die Rolle und die Domäne werden durch ein Leerzeichen getrennt. Sie können einen Benutzer (z. B. USER1) so konfigurieren, dass ihm eine Rolle (z. B. ADMIN) und eine Domäne (z. B. MYDOMAIN) zugewiesen wird, wenn sich der Benutzer bei einem Kontext (z. B. C1) anmeldet.

tacacs-radius-devices-01.png

Erstellen eines Autorisierungsprofils (RADIUS)

Ein Autorisierungsprofil ist ein Container mit grundlegenden Berechtigungen für den RADIUS-basierten Zugriff. Mit Access-Accept können Sie festlegen, welche RADIUS-Attribute und -Attributwerte zusätzlich zu den VLANs, Zugriffskontrolllisten (ACLs) und anderen Parametern zurückgegeben werden sollen.

Gehen Sie wie folgt vor, um einem neuen Autorisierungsprofil benutzerdefinierte Attribute hinzuzufügen:

  1. Melden Sie sich bei der ACS-Schnittstelle an.

  2. Navigieren Sie zu Richtlinienelemente > Autorisierung und Berechtigungen > Netzwerkzugriff > Autorisierungsprofile.

  3. Klicken Sie auf die Schaltfläche Erstellen.

  4. Geben Sie dem Autorisierungsprofil einen Namen.

  5. Klicken Sie auf die Registerkarte RADIUS Attributes.

  6. Wählen Sie ein Wörterbuch aus dem Dropdown-Menü Wörterbuchtyp aus.

  7. Klicken Sie auf die Schaltfläche Auswählen, um das Attribut für das RADIUS-Attributfeld auszuwählen. Ein neues Fenster wird angezeigt.

  8. Überprüfen Sie die verfügbaren Attribute, treffen Sie Ihre Auswahl, und klicken Sie auf OK. Der Wert Attributtyp wird standardmäßig auf Basis der gerade vorgenommenen Attributauswahl festgelegt.

  9. Lassen Sie das Dropdown-Menü für den Attributwert auf Statisch gesetzt. Wenn der Wert statisch ist, können Sie den Wert im nächsten Feld eingeben. Wenn der Wert dynamisch ist, können Sie das Attribut nicht manuell eingeben. Stattdessen wird das Attribut einem Attribut in einem der Identitätsspeicher zugeordnet.

  10. Geben Sie den Wert des Attributs im letzten Feld ein.

  11. Klicken Sie auf die Schaltfläche Hinzufügen, um der Tabelle den Eintrag hinzuzufügen.

  12. Wiederholen Sie den Vorgang, um alle erforderlichen Attribute zu konfigurieren.

  13. Klicken Sie unten im Bildschirm auf Senden.

Konfigurationsbeispiel

Gerät: ACE

Attribut(e): cisco-av-pair

Wert(e): Shell:<Kontextname>=<Rollenname> <Domänenname1> <Domänenname2>

Verwendung: Jeder Wert nach dem Gleichheitszeichen wird durch ein Leerzeichen getrennt. Sie können einen Benutzer (z. B. USER1) so konfigurieren, dass ihm eine Rolle (z. B. ADMIN) und eine Domäne (z. B. MYDOMAIN) zugewiesen wird, wenn sich der Benutzer bei einem Kontext (z. B. C1) anmeldet.

tacacs-radius-devices-02.png

Geräteliste

Aggregation Services Router (ASR)

RADIUS (Autorisierungsprofil)

Attribut(e): cisco-av-pair

Wert(e): shell:tasks="#<Rollenname>,<Berechtigung>:<Prozess>"

Syntax: Legen Sie die Werte von <Rollenname> auf den Namen einer Rolle fest, die lokal auf dem Router definiert ist. Die Rollenhierarchie kann in Form einer Struktur beschrieben werden, in der die Rolle #root oben in der Struktur steht und die Rolle #leaf zusätzliche Befehle hinzufügt. Diese beiden Rollen können kombiniert und zurückgegeben werden, wenn: shell:tasks="#root,#leaf".

Berechtigungen können auch auf Basis einzelner Prozesse zurückgegeben werden, sodass einem Benutzer Lese-, Schreib- und Ausführungsberechtigungen für bestimmte Prozesse erteilt werden können. Um beispielsweise einem Benutzer Lese- und Schreibberechtigungen für den BGP-Prozess zuzuweisen, legen Sie den Wert auf shell:tasks="#root,rw:bgp" fest. Die Reihenfolge der Attribute spielt keine Rolle; das Ergebnis ist gleich, ob der Wert auf shell:tasks="#root,rw:bgp" oder ro shell:tasks="rw:bgp,#root" festgelegt ist.

Beispiel: Hinzufügen eines Attributs zu einem Autorisierungsprofil

Dictionary-Typ RADIUS-Attribut Attributtyp Attributwert
RADIUS - Cisco 
cisco-av-pair
 String 
shell:tasks="#root,#leaf,rwx:bgp,r:ospf"

Application Control Engine (ACE)

TACACS+ (Shell-Profil)

Attribut(e): Shell:<Kontextname>

Wert(e): <Rollenname> <Domänenname1>

Verwendung: Die Rolle und die Domäne werden durch ein Leerzeichen getrennt. Sie können einen Benutzer (z. B. USER1) so konfigurieren, dass ihm eine Rolle (z. B. ADMIN) und eine Domäne (z. B. MYDOMAIN) zugewiesen wird, wenn sich der Benutzer bei einem Kontext (z. B. C1) anmeldet.

Beispiel: Hinzufügen eines Attributs zu einem Shell-Profil

Attribut Anforderung Attributwert 
shell:C1
 Mandatory (Obligatorisch) 
Admin MYDOMAIN

Wenn sich USER1 über den C1-Kontext anmeldet, wird diesem Benutzer automatisch die ADMIN-Rolle und die MYDOMAIN-Domäne zugewiesen (vorausgesetzt, dass eine Autorisierungsregel konfiguriert wurde, in der ihm nach der Anmeldung von USER1 dieses Autorisierungsprofil zugewiesen wird).

Wenn sich USER1 über einen anderen Kontext anmeldet, der nicht im Wert des Attributs zurückgegeben wird, das der ACS zurücksendet, wird diesem Benutzer automatisch die Standardrolle (Netzwerkmonitor) und die Standarddomäne (Standarddomäne) zugewiesen.

RADIUS (Autorisierungsprofil)

Attribut(e): cisco-av-pair

Wert(e): Shell:<Kontextname>=<Rollenname> <Domänenname1> <Domänenname2>

Verwendung: Jeder Wert nach dem Gleichheitszeichen wird durch ein Leerzeichen getrennt. Sie können einen Benutzer (z. B. USER1) so konfigurieren, dass ihm eine Rolle (z. B. ADMIN) und eine Domäne (z. B. MYDOMAIN) zugewiesen wird, wenn sich der Benutzer bei einem Kontext (z. B. C1) anmeldet.

Beispiel: Hinzufügen eines Attributs zu einem Autorisierungsprofil

Dictionary-Typ RADIUS-Attribut Attributtyp Attributwert
RADIUS - Cisco 
cisco-av-pair
 String 
shell:C1=ADMIN MYDOMAIN

Wenn sich USER1 über den C1-Kontext anmeldet, wird diesem Benutzer automatisch die ADMIN-Rolle und die MYDOMAIN-Domäne zugewiesen (vorausgesetzt, dass eine Autorisierungsregel konfiguriert wurde, in der ihm nach der Anmeldung von USER1 dieses Autorisierungsprofil zugewiesen wird).

Wenn sich USER1 über einen anderen Kontext anmeldet, der nicht im Wert des Attributs zurückgegeben wird, das der ACS zurücksendet, wird diesem Benutzer automatisch die Standardrolle (Netzwerkmonitor) und die Standarddomäne (Standarddomäne) zugewiesen.

BlueCoat Packet Shaper

RADIUS (Autorisierungsprofil)

Attribut(e): Packeter - AVPair

Wert(e): access=<level>

Syntax: <level> bezeichnet die Zugriffsstufe, die gewährt werden soll. Touch-Zugriff ist gleichbedeutend mit Lese- und Schreibzugriff, während Look-Zugriff gleichbedeutend mit Schreibzugriff ist.

Das BlueCoat VSA ist in den ACS-Wörterbüchern standardmäßig nicht vorhanden. Um das BlueCoat-Attribut in einem Autorisierungsprofil zu verwenden, müssen Sie ein BlueCoat-Wörterbuch erstellen und diesem Wörterbuch die BlueCoat-Attribute hinzufügen.

Dictionary erstellen:

  1. Navigieren Sie zu System Administration > Configuration > Dictionaries > Protocols > RADIUS​ > RADIUS VSA (Systemverwaltung > Konfiguration > Wörterbücher > Protokolle).

  2. Klicken Sie auf Erstellen.

  3. Geben Sie die Details des Wörterbuchs ein:

    • Name: BlueCoat

    • Hersteller-ID: 2334

    • Attributpräfix: Packeteer-

  4. Klicken Sie auf Senden.

Erstellen Sie ein Attribut im neuen Wörterbuch:

  1. Navigieren Sie zu System Administration > Configuration > Dictionaries > Protocols > RADIU​S > RADIUS VSA > BlueCoat (Systemverwaltung > Konfiguration > Wörterbücher > Protokolle)BlueCoat.

  2. Klicken Sie auf Erstellen.

  3. Geben Sie die Details des Attributs ein:

    • Attribut: Packeter-AVPair

    • Beschreibung: Wird zum Festlegen der Zugriffsebene verwendet.

    • Kreditorenattribut-ID: 1

    • Richtung: AUSGEHEND

    • Mehrere zulässig: Falsch

    • Attribut in Protokoll einschließen: Aktiviert

    • Attributtyp: Zeichenfolge

  4. Klicken Sie auf Senden.

Beispiel: Hinzufügen des Attributs zu einem Autorisierungsprofil (für schreibgeschützten Zugriff)

Dictionary-Typ RADIUS-Attribut Attributtyp Attributwert
RADIUS-BlueCoat 
Packeteer-AVPair
 String 
access=look

Beispiel: Hinzufügen des Attributs zu einem Autorisierungsprofil (für Lese-/Schreibzugriff)

Dictionary-Typ RADIUS-Attribut Attributtyp Attributwert
RADIUS-BlueCoat 
Packeteer-AVPair
 String 
access=touch

Brocade-Switches

RADIUS (Autorisierungsprofil)

Attribut(e): Tunnel-Private-Group-ID

Wert(e): U:<VLAN1>; T:<VLAN2>

Syntax: Legen Sie <VLAN1> auf den Wert des Daten-VLAN fest. <VLAN2> auf den Wert des Sprach-VLANs festlegen. In diesem Beispiel ist das Daten-VLAN VLAN 10 und das Sprach-VLAN VLAN 21.

Beispiel: Hinzufügen eines Attributs zu einem Autorisierungsprofil

Dictionary-Typ RADIUS-Attribut Attributtyp Attributwert
RADIUS-IETF 
Tunnel-Private-Group-ID
 Markierte Zeichenfolge 
U:10;T:21

Cisco Unity Express (CUE)

RADIUS (Autorisierungsprofil)

Attribut(e): cisco-av-pair

Wert(e): fndn:groups=<Gruppenname>

Syntax: <Gruppenname> ist der Name der Gruppe mit den Berechtigungen, die Sie dem Benutzer erteilen möchten. Diese Gruppe muss in Cisco Unity Express (CUE) konfiguriert werden.

Beispiel: Hinzufügen eines Attributs zu einem Autorisierungsprofil

Dictionary-Typ RADIUS-Attribut Attributtyp Attributwert
RADIUS - Cisco 
cisco-av-pair
 String 
fndn:groups=Administrators

Infoblox

RADIUS (Autorisierungsprofil)

Attribut(e): Infoblox-Gruppe-Info

Wert(e): <Gruppenname>

Syntax: <Gruppenname> ist der Name der Gruppe mit den Berechtigungen, die Sie dem Benutzer erteilen möchten. Diese Gruppe muss auf dem Infoblox-Gerät konfiguriert werden. In diesem Konfigurationsbeispiel lautet der Gruppenname MyGroup.

Die Infoblox VSA ist in den ACS-Wörterbüchern standardmäßig nicht vorhanden. Um das Infoblox-Attribut in einem Autorisierungsprofil zu verwenden, müssen Sie ein Infoblox-Wörterbuch erstellen und diesem Wörterbuch die Infoblox-Attribute hinzufügen.

Dictionary erstellen:

  1. Navigieren Sie zu System Administration > Configuration > Dictionaries > Protocols > RADIU​S > RADIUS VSA (Systemverwaltung > Konfiguration > Wörterbücher > Protokolle > RADIUS VSA).

  2. Klicken Sie auf Erstellen.

  3. Klicken Sie auf den kleinen Pfeil neben Erweiterte Herstelleroptionen verwenden.

  4. Geben Sie die Details des Wörterbuchs ein:

    • Name: Infoblox

    • Anbieter-ID: 7779

    • Herstellerlänge - Feldgröße: 1

    • Anbietertyp - Feldgröße: 1

  5. Klicken Sie auf Senden.

Erstellen Sie ein Attribut im neuen Wörterbuch:

  1. Navigieren Sie zu System Administration > Configuration > Dictionaries > Protocols > RADIU​S > RADIUS VSA > Infoblox.

  2. Klicken Sie auf Erstellen.

  3. Geben Sie die Details des Attributs ein:

    • Attribut: Infoblox-Group-Info

    • Kreditorenattribut-ID: 009

    • Richtung: AUSGEHEND

    • Mehrere zulässig: Falsch

    • Attribut in Protokoll einschließen: Aktiviert

    • Attributtyp: Zeichenfolge

  4. Klicken Sie auf Senden.

Beispiel: Hinzufügen eines Attributs zu einem Autorisierungsprofil

Dictionary-Typ RADIUS-Attribut Attributtyp Attributwert
RADIUS-Infoblox 
Infoblox-Group-Info
 String 
MyGroup

Intrusion Prevention System (IPS)

RADIUS (Autorisierungsprofil)

Attribut(e): IPS-Rolle

Wert(e): <Rollenname>

Syntax: Der Wert <Rollenname> kann eine der vier IPS-Benutzerrollen (Intrusion Prevention System) sein: Viewer, Operator, Administrator oder Dienst. Weitere Informationen zu den Berechtigungen für die einzelnen Benutzerrollentypen finden Sie im Konfigurationsleitfaden für Ihre IPS-Version.

Beispiel: Hinzufügen eines Attributs zu einem Autorisierungsprofil

Dictionary-Typ RADIUS-Attribut Attributtyp Attributwert
RADIUS - Cisco 
cisco-av-pair
 String 
ips-role:administrator

Juniper

TACACS+ (Shell-Profil)

Attribut(e): allow-commands ; allow-configuration ; local-user-name ; deny-commands ; deny-configuration; user-rights

Wert(e): <allow-commands-regex> ; <allow-configuration-regex> ; <local-username> ; <deny-commands-regex> ; <deny-configuration-regex>

Syntax: Legen Sie den Wert von <local-username> (d. h. den Wert des Attributs "local-user-name") auf einen Benutzernamen fest, der lokal auf dem Juniper-Gerät vorhanden ist. Beispielsweise können Sie einen Benutzer (z. B. USER1) so konfigurieren, dass ihm die gleiche Benutzervorlage wie einem Benutzer (z. B. JUSER) zugewiesen wird, der lokal auf dem Juniper-Gerät vorhanden ist, wenn Sie den Wert des Attributs "local-user-name" auf JUSER festlegen. Die Werte der Attribute allow-commands, allow-configuration, deny-commands und deny-configuration können im regulären Format eingegeben werden. Die Werte, auf die diese Attribute festgelegt sind, werden zusätzlich zu den Befehlen im Betriebs-/Konfigurationsmodus festgelegt, die durch die Berechtigungsbits der Anmeldungsklasse des Benutzers autorisiert wurden.

Beispiel - Attribute zu einem Schalenprofil hinzufügen 1

Attribut Anforderung Attributwert 
allow-commands
 Optional 
"(request system) | (show rip neighbor)"
 
allow-configuration
 Optional   
local-user-name
 Optional 
sales
 
deny-commands
 Optional 
"<^clear"
 
deny-configuration
 Optional  

Beispiel - Attribute zu einem Schalenprofil hinzufügen 2

Attribut Anforderung Attributwert 
allow-commands
 Optional 
"monitor | help | show | ping | traceroute"
 
allow-configuration
 Optional   
local-user-name
 Optional 
engineering
 
deny-commands
 Optional 
"configure"
 
deny-configuration
 Optional  

Nexus Switches

RADIUS (Autorisierungsprofil)

Attribut(e): cisco-av-pair

Wert(e): shell:roles="<role1> <role2>"

Syntax: Legen Sie die Werte von <role1> und <role2> auf die Namen der Rollen fest, die lokal auf dem Switch definiert sind. Wenn Sie mehrere Rollen hinzufügen, trennen Sie diese durch ein Leerzeichen. Wenn mehrere Rollen vom AAA-Server an den Nexus-Switch zurückgegeben werden, hat der Benutzer Zugriff auf Befehle, die durch die Vereinigung aller drei Rollen definiert werden.

Die integrierten Rollen werden in Configuring User Accounts and RBAC (Konfigurieren von Benutzerkonten und RBAC) definiert.

Beispiel: Hinzufügen eines Attributs zu einem Autorisierungsprofil

Dictionary-Typ RADIUS-Attribut Attributtyp Attributwert
RADIUS - Cisco 
cisco-av-pair
 String 
shell:roles="network-admin vdc-admin vdc-operator"

Riverbed

TACACS+ (Shell-Profil)

Attribut(e): Dienst ; lokaler Benutzername

Wert(e): rbt-exec ; <Benutzername>

Syntax: Um dem Benutzer schreibgeschützten Zugriff zu gewähren, muss der Wert <username> auf "Monitor" gesetzt werden. Um dem Benutzer Lese- und Schreibzugriff zu gewähren, muss der Wert <benutzername> auf admin festgelegt werden. Wenn Sie neben "admin and monitor" ein weiteres Konto definiert haben, konfigurieren Sie, dass dieser Name zurückgegeben wird.

Beispiel - Attribute zu einem Shell-Profil hinzufügen (für schreibgeschützten Zugriff)

Attribut Anforderung Attributwert 
service
 Mandatory (Obligatorisch) 
rbt-exec
 
local-user-name
 Mandatory (Obligatorisch) 
monitor

Beispiel: Hinzufügen von Attributen zu einem Shell-Profil (für Lese-/Schreibzugriff)

Attribut Anforderung Attributwert 
service
 Mandatory (Obligatorisch) 
rbt-exec
 
local-user-name
 Mandatory (Obligatorisch) 
admin

Wireless LAN-Controller (WLC)

RADIUS (Autorisierungsprofil)

Attribut(e): Servicetyp

Wert(e): Administrativ (6) / NAS-Prompt (7)

Syntax: Um dem Benutzer Lese-/Schreibzugriff auf den Wireless LAN Controller (WLC) zu gewähren, muss der Wert "Administrative" lauten. Für den schreibgeschützten Zugriff muss der Wert "NAS-Prompt" lauten.

Weitere Informationen finden Sie unter Konfigurationsbeispiel für die RADIUS-Serverauthentifizierung von Verwaltungsbenutzern auf dem Wireless LAN-Controller (WLC).

Beispiel: Hinzufügen des Attributs zu einem Autorisierungsprofil (für schreibgeschützten Zugriff)

Dictionary-Typ RADIUS-Attribut Attributtyp Attributwert
RADIUS-IETF 
Service-Type
 Aufzählung 
NAS-Prompt

Beispiel: Hinzufügen des Attributs zu einem Autorisierungsprofil (für Lese-/Schreibzugriff)

Dictionary-Typ RADIUS-Attribut Attributtyp Attributwert
RADIUS-IETF 
Service-Type
 Aufzählung 
Administrative

Data Center Network Manager (DCNM)

DCNM muss neu gestartet werden, nachdem die Authentifizierungsmethode geändert wurde. Andernfalls kann statt network-admin eine Netzwerkbetreiberberechtigung zugewiesen werden.

DCNM-Rolle RADIUS Cisco-AV-Pair TACACS Cisco-AV-Pair
Benutzer 
shell:roles = "network-operator"
 
cisco-av-pair=shell:roles="network-operator"
Administrator 
shell:roles = "network-admin"
 
cisco-av-pair=shell:roles="network-admin"

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
22-Jan-2013
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Dragana Radmilo
    Cisco TAC Engineer.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.