JUNOS 3A实现相对思科简单,灵活,估计是得益于BSD.
简 单来说,复杂的功能实现起来,思科解决方案牛一点,ACS上复杂,多样的特性设置完全能满足3A的各种需求,包括每个用户命令记录,用户授权,能精确的什 么级别,使用什么命令.但只在3A配合ACS的情况下部署过,没有单机部署过,以前看别人部署了挺多,但都没法实现预期目的.
JUNOS直接内置了class,有
operator permissions [ clear network reset trace view ]
read-only permissions [ view ]
super-user permissions [ all ]
unauthorized permissions [ none ]
并且可以在本机灵活自定义class,甚至定于允许使用哪些命令,或者不允许使用那些命令.这些在思科上实现部署就复杂了去了.
JUNOS实现如下:
set system login class class_show_int permissions network----必须先定义permissions,不然class无效.
set system login class class_show_int allow-commands "show interface"原有的permissions里没有show,加入对show的支持,且只支持show int 及子命令
set system login class class_show_int deny-commands "ping|trace",去掉原permissions中对ping及traceroute的支持,
set system login user op class class_show_int,将op这个用户归到class_show_int里进去.