Общие сведения о системе
Дерево команд
Сетевые технологии
Аппаратная часть
Немного линукса
Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: system.aaa.http-server.…далее…

Что это такое?

Это политика аутентификации и авторизации для входа через Web-интерфейс.

Зачем это нужно?

Для контроля доступа на устройство.

Как это настроить?

Для добавления нового способа аутентификации в рамках данной политики используйте команды +, _new или _insert. Данный список является нумерованным и упорядочивается автоматически. Для удаления используйте команду - или _remove.

Чтобы использовать отдельную политику http-server, её необходимо включить в настройках сервера HTTP/HTTPS.

Данная политика предполагает, что пользователь не определён локально на устройстве, аутентификация производится только централизованно по TACACS+. При этом полномочия пользователя должны быть определены также на сервере TACACS+ одним из двух способов:

  1. Назначение пользователю одной из ролей (в терминологии NSG) или уровней привилегий (в терминах Cisco), сконфигурированных на устройстве. Необходимые настройки:
    • type = "tacacs"
    • per-command-auth = false
    • На сервере TACACS+ указать для данного пользователя service = exec и в нём требуемый уровень привилегий или роль. (То и другое эквивалентно по существу, различаются только терминология и названия ролей.) Допустимы все уровни от 0 до 15 или все роли, кроме user.
    Пример конфигурации сервера.
  2. Авторизация каждой выполняемой команды на сервере. Необходимые настройки:
    • type = "tacacs"
    • per-command-auth = true
    • На сервере TACACS+ указать для данного пользователя service = shell и разрешающие/запрещающие фильтры команд.
    Пример конфигурации сервера.
    ПРИМЕЧАНИЕ. Для работы Web-интерфейса, в отличие от CLI, в данном случае необходимо выполнить дополнительную настройку: разрешить чтение полной конфигурации.

Для пользователей, определённых локально на устройстве, политика https-server применима с настройками:

per-command-auth = false
service = exec { } (в конфигурации сервера)

Но при этом для входа необходимо использовать пароль, заданный на сервере TACACS+, а не локально на устройстве.

Что делать, если это не работает?

  1. Проверить правильность записи имён и паролей.
  2. Проверить настройки серверов TACACS+.
  3. Проверить наличие маршрутов к серверам TACACS+ и обратно от них на данное устройство, их доступность по сети.
  4. Смотреть журналы серверов TACACS+.
© Network Systems Group 2015–2026 Отдел документации