====== AAA ======

===== Старая модель AAA =====

==== управление доступом к привилегированному режиму ====
<code>
enable secret cisco
</code>

==== управление доступом к консоли ====
<code>
line con 0
 password cisco
 login
</code>

==== управление доступом к виртуальным терминалам ====

<code>
line vty 0 15
 password cisco
 login ! по умолчанию
</code>

==== подключение к виртуальным терминалам ====
<code>
server# telnet router
</code>
===== Новая модель AAA =====

==== Базовая настройка ====
<code>
aaa new-model
aaa authentication login CONSOLE none
aaa authorization exec CONSOLE none
enable secret cisco


aaa authorization console
line con 0
 login authentication CONSOLE
 authorization exec CONSOLE
 privilege level 15
</code>

==== Аутентификация с использованием локальной базы данных ====
<code>
aaa authentication login default local

username user1 password cpassword1
</code>

==== Локальная авторизация ====

  * [[https://www.cisco.com/c/en/us/support/docs/routers/asr-1000-series-aggregation-services-routers/212149-Configure-IOS-XE-to-display-full-show-ru.html|Configure IOS-XE to display full show running-config for users with low Privilege Levels]]

Уровни привилегий:
  * 0 - минимальный
  * 1-14 - можно назначить разрешения
  * 15 - максимальный

<code>
aaa authorization exec default local

username user1 privilege 7

privilege exec level 7 show running-config view full
</code><code>
server# ssh user1@switch1
...
switch# show privilege

switch# show running-config view full
...
</code>

==== Аутентификация с использованием RADIUS ====

=== Настройка клиента RADIUS ===
<code>
radius-server host server auth-port 1812 acct-port 1813

radius-server key testing123
</code>

=== Использование RADIUS для аутентификации подключений =====
<code>
aaa authentication login default group radius enable
</code>

=== Использование RADIUS для авторизации подключений =====
<code>
aaa authorization exec default group radius none
</code>


=== Использование RADIUS для протокола 802.1x =====

[[http://open1x.sourceforge.net/]]

<code>
aaa authentication dot1x default group radius

aaa accounting dot1x default start-stop group radius
</code>
==== Аутентификация и авторизация с использованием TACACS+ ====

=== Настройка клиента TACACS+ ===
<code>
tacacs-server host server

tacacs-server key tackey123
</code>

=== Использование TACACS+ для аутентификации подключений ===
<code>
aaa authentication login default group tacacs+ enable

aaa authorization exec default group tacacs+ none

aaa accounting commands 15 default start-stop group tacacs+ 
</code>

===== Дополнительные материалы =====

  * [[http://ciscomaster.ru/content/access-delegate-rbac|Делегирование прав доступа к консоли или Role-Based Access Control (RBAC)]]
  * [[http://www.cisco.com/en/US/docs/ios/12_3t/12_3t7/feature/guide/gtclivws.html|Role-Based CLI Access]]