Chinaunix首页 | 论坛 | 博客
  • 博客访问: 751035
  • 博文数量: 256
  • 博客积分: 3502
  • 博客等级: 中校
  • 技术积分: 3988
  • 用 户 组: 普通用户
  • 注册时间: 2012-04-17 21:13
文章分类

全部博文(256)

文章存档

2014年(11)

2013年(134)

2012年(111)

我的朋友

分类: 系统运维

2013-04-19 10:34:45

JUNOS 3A实现相对思科简单,灵活,估计是得益于BSD.

简 单来说,复杂的功能实现起来,思科解决方案牛一点,ACS上复杂,多样的特性设置完全能满足3A的各种需求,包括每个用户命令记录,用户授权,能精确的什 么级别,使用什么命令.但只在3A配合ACS的情况下部署过,没有单机部署过,以前看别人部署了挺多,但都没法实现预期目的.

 

JUNOS直接内置了class,有

operator             permissions [ clear network reset trace view ]
read-only            permissions [ view ]
super-user           permissions [ all ]
unauthorized         permissions [ none ]

并且可以在本机灵活自定义class,甚至定于允许使用哪些命令,或者不允许使用那些命令.这些在思科上实现部署就复杂了去了.

JUNOS实现如下:


set system login class class_show_int permissions network----必须先定义permissions,不然class无效.
set system login class class_show_int allow-commands "show interface"原有的permissions里没有show,加入对show的支持,且只支持show int 及子命令

set system login class class_show_int deny-commands "ping|trace",去掉原permissions中对ping及traceroute的支持,
set system login user op class class_show_int,将op这个用户归到class_show_int里进去.

阅读(1112) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~