使用TACACS+属性的用户角色分配
使用VSA(供应商特定属性)和TACACS+指定属性在TACACS+服务器上配置了用户角色分配。
TACACS+服务器可以根据身份验证请求返回多个属性值对(AVP)。该属性按以下优先顺序处理,以确定分配的用户角色:
如果是
Aruba-Admin-Role存在VSA,将用户映射到匹配的对应的本地用户组名称。否则
priv-lvl存在TACACS+指定属性,提取特权级别(1、15或19),然后将用户映射到与此特权级别相对应的本地用户组(1 =操作员,,,,15 =管理员,,,,19 =审核员)。特权级别2至14也可以与名为2至14的本地用户组匹配。否则,无法确定用户角色,并且身份验证失败。
此信息总结如下:
Aruba-Admin-Role |
priv-lvl |
分配用户角色 |
|---|---|---|
|
不管 | 匹配本地用户 |
| 不存在 | 1 | 操作员 |
| 不存在 | 15 | 管理员 |
| 不存在 | 19 | 审核员 |
| 不存在 | 2至14 | 匹配名为2至14的本地用户组 |
| 不存在 | 不存在 | 无(未经认证) |