安全 : 用于 Unix 的思科安全访问控制服务器

安装和调试 CiscoSecure 2.x TACACS+

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文第一次是Cisco Secure TACACS+配置的设置和调试的打算的协助Cisco Secure 2.x用户。它不是Cisco Secure功能详尽说明。

参考您的Cisco Secure文档关于服务器软件和用户设置的更全面的信息。适当的版本的参考的Cisco IOS软件文档关于路由器的更多信息发出命令。

先决条件

要求

本文档中的信息基于以下软件和硬件版本:

  • Cisco Secure ACS 2.x和以后

  • Cisco IOS�软件版本11.3.3和以上

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

设置 Cisco Secure

完成这些步骤:

  1. 确保您使用来以软件为了安装在UNIX服务器的Cisco Secure代码的说明。

  2. 为了确认产品终止并且启动,输入cd到/etc/rc0.d和作为根,请执行安全的./K80Cisco (终止守护程序)。

    输入cd对/etc/rc2.d和作为根,执行安全的./S80Cisco (启动守护程序)。

    在启动,您应该看到消息例如:

    Cisco Secure starting Processes: Fast Track Admin, FastTrack Server (Delayed Start), DBServer, AAA Server

    运行$BASE/utils/psg为了肯定其中至少一其中每一单个进程运行,例如, SQLAnywhere或另一个数据库引擎, Cisco Secure数据库服务器进程、Netscape Web服务器、Netscape Web Admin, Acme Web服务器, Cisco Secure AAA进程或者自动重新启动进程。

  3. 为了保证您在适当的目录、设置环境变量和路径您的shell环境的。使用得c-shell这里。

    $BASE是Cisco Secure安装的目录,选择在安装时。它包含这样目录象DOCS, DBServer, CSU,等等。

    在本例中, /opt/CSCOacs的安装假设,但是这在您的system:能有所不同

    setenv $BASE   /opt/CSCOacs

    $SQLANY是默认Cisco Secure数据库安装的目录,选择在安装时。如果附有产品, SQLAnywhere,使用了的默认数据库,包含这样目录象数据库,文档,等等。

    在本例中, /opt/CSCOacs/SYBSsa50的安装假设,但是这在您的系统能有所不同。

    setenv $SQLANY /opt/CSCOacs/SYBSsa50

    添加您的shell环境的路径对:

    $BASE/utils
    $BASE/bin
    $BASE/CSU
    $BASE/ns-home/admserv
    $BASE/Ns-home/bin/httpd
    $SQLANY/bin
  4. 对$BASE/config的CD

    CSU.cfg是Cisco安全服务器控制文件。做备份副本此文件。

    在此文件中,列表config_license_key显示您通过授权过程接收的许可证密钥,如果采购软件;如果这是4端口试用许可证,您能忽略此线路。

    NAS config_nas_config部分能包含默认网络接入服务器(NAS)或路由器,或者在安装期间,您输入的NAS。为调试目的在本例中,您能允许所有NAS用Cisco安全服务器通信,不用密钥。例如,请删除NAS的名称,并且从包含/* NAS名称的线路的密钥可以去此处*”并且/*NAS/Cisco巩固密钥*。唯一的在该区域读:

    NAS config_nas_config = {
      {
        "",         /* NAS name can go here */
        "",             /* NAS/Cisco Secure secret key */
        "",                        /* message_catalogue_filename */
        1,                         /* username retries */
        2,                         /* password retries */
        1                          /* trusted NAS for SENDPASS */
      }
    };
    
    AUTHEN config_external_authen_symbols = {

    当您执行此时,您告诉Cisco Secure允许与所有NAS谈没有密钥交换。

  5. 如果希望安排调试信息去/var/log/csuslog,您需要有在CSU.cfg顶部的一条线路,告诉服务器要执行的多少调试。0X7FFFFFFF添加所有可能的调试。相应地添加或修改此线路:

    NUMBER config_logging_configuration = 0x7FFFFFFF;

    此其他线路发送调试信息对local0 :

    NUMBER config_system_logging_level = 0x80;

    并且,请添加此条目为了修改/etc/syslog.conf文件:

    local0.debug /var/log/csuslog

    然后请回收系统日志再读:

    kill -HUP `cat /etc/syslog.pid`

    回收Cisco安全服务器:

    /etc/rc0.d/K80Cisco Secure
    /etc/rc2.d/S80Cisco Secure

    它应该仍然开始。

  6. 您可以要使用浏览器添加用户、组,等等或者Csimport工具。使用Csimport,展开文件的示例用户在本文结束时可能容易地搬入数据库。这些用户对于测试目的将工作,并且您可以删除他们,一旦获得您自己的用户。一旦已导入能通过GUI看到已导入用户。

    如果决定使用Csimport :

    CD $BASE/utils

    放置用户和组配置文件在本文结束时在一个文件例如任何地方系统,例如,然后从$BASE/utils目录,与安全守护程序运行的/etc/rc2.d/S80Cisco和作为用户根,运行Csimport以测验(- t)选项:

    ./CSimport -t -p <path_to_file> -s <name_of_file>

    这为用户测试语法;您应该收到消息例如:

    Secure config home directory is: /opt/CSCOacs/config/CSConfig.ini
    hostname = berry and port = 9900 and clientid = 100
    /home/ddunlap/csecure/upgrade.log exists, do you want to write over 'yes' or 'no' ?
    yes
    Sorting profiles...
    Done sorting 21 profiles!
    Running the database import test...

    您不应该收到消息例如:

    Error at line 2: password = "adminusr"
    Couldn't repair and continue parse

    是否有错误,请检查upgrade.log为了确保被检查的配置文件。一旦错误被更正,从$BASE/utils目录,当守护程序运行(安全的/etc/rc2.d/S80Cisco)和作为用户根,请运行Csimport以进行(- c)选项搬入用户数据库:

    ./CSimport -c -p <path_to_file> -s <name_of_file>

    再次,不应该有错误在屏幕或在upgrade.log。

  7. 支持的浏览器在Cisco Secure兼容性技术提示列出。从您的PC浏览器,对Cisco Secure/Solaris设备http://#的。#.#.#/cs #.#.#.#是Cisco Secure/Solaris服务器的IP的地方。

    在出现的屏幕,用户回车超级用户的和密码的,回车changeme。这时请勿更改密码。您应该看到用户/组被添加是否在上一步使用Csimport或能关掉浏览块和通过GUI手工添加用户和组。

设置认证

注意: 此路由器配置在运行Cisco IOS软件版本11.3.3的路由器开发。Cisco IOS软件版本12.0.5.T和以后显示组TACACS而不是TACACS

这时,请配置路由器。

  1. 当您配置路由器时,请杀害Cisco Secure。

    /etc/rc0.d/K80Cisco Secure to stop the daemons.
  2. 在路由器上,请开始配置TACACS+。在set命令前输入特权模式和类型conf t。此语法保证您没有锁定在最初提供Cisco Secure的路由器外面不运作。回车ps - ef|如果是,安全的grep为了检查确保Cisco Secure不运行和kill -9进程:

    
    !--- Turn on TACACS+
    
    aaa new-model
    enable password whatever
    
    !--- These are lists of authentication methods,
    !--- that is, vtymethod and conmethod are
    !--- names of lists, and the methods listed on the 
    !--- same lines are the methods in the order to be 
    !--- tried. As used here, if authentication
    !--- fails due to Cisco Secure not being started, 
    !--- the enable password is accepted 
    !--- because it is in each list.
    
    aaa authentication login vtymethod tacacs+ enable
    aaa authentication login conmethod tacacs+ enable
    
    !--- Point the router to the server, that is, 
    !--- #.#.#.# is the server IP address.
    
    tacacs-server host #.#.#.#
    line con 0
        password whatever
        
    !--- No time-out to prevent being locked out 
        !--- during debugging.
    
        exec-timeout 0 0
        login authentication conmethod
    line vty 0 4
        password whatever
        
    !--- No time-out to prevent being locked out 
        !--- during debugging.
    
        exec-timeout 0 0
        login authentication vtymethod
  3. 测试以确定您仍可在继续下一步前通过 Telnet 和控制台端口访问路由器。由于Cisco Secure不运行,应该接受特权密码。

    警告 警告: 保持控制台端口会话激活并且保持在特权模式;此会话不应该计时。您这时开始对限制访问到路由器,并且您需要能做配置更改,无需锁定。

    发出这些命令为了发现服务器对路由器交互作用在路由器:

    terminal monitor
    debug aaa authentication
  4. 作为根,请启动在服务器的Cisco Secure :

    /etc/rc2.d/S80Cisco Secure

    这开始进程,但是您比在安全要启用更多调试的S80Cisco配置,如此:

    ps -ef | grep Cisco Secure
    kill -9 <pid_of CS_process>
    
    CD $BASE/CSU
    ./Cisco Secure -cx -f $BASE/config/CSU.cfg to start the Cisco Secure process with debugging

    使用- x选项,在前景的Cisco Secure对服务器交互的运行,因此路由器可以被观察。您不应该看到错误消息。Cisco安全进程应该开始和暂停那里由于- x选项。

  5. 从另一个窗口,请检查是开始的肯定的Cisco Secure。输入ps - ef并且寻找Cisco安全进程。

  6. Telnet (VTY)用户应该当前必须通过Cisco Secure验证。使用在路由器的调试, Telnet到从网络的另一个部分的路由器里。路由器应该导致用户名和密码提示符。您应该能访问有这些用户id/密码组合的路由器:

    adminusr/adminusr
    operator/oper
    desusr/encrypt

    观察服务器和,即的路由器,您应该看到交互作用什么发送的地方,答复和请求,等等。在您继续前,请更正所有问题。

  7. 如果也要为了您的用户能通过Cisco Secure验证进入特权模式,确保您的控制台端口会话仍然是活跃和添加此命令到路由器:

    
    !--- For enable mode, list 'default' looks to Cisco Secure
    !--- then enable password if Cisco Secure is not running.
    
    aaa authentication enable default tacacs+ enable
  8. 您应该当前必须通过Cisco Secure启用。使用在路由器的调试, Telnet到从网络的另一个部分的路由器里。当路由器请求用户名/密码时请回应操作员/操作

    当用户操作员设法输入特权模式(权限级别15),密码“cisco”要求。其他用户不能输入特权模式没有下来权限级别语句(或Cisco Secure守护程序)。

    观察服务器和,例如的路由器,您应该看到Cisco Secure交互作用什么发送的地方,答复和请求,等等。在继续前更正所有问题。

  9. 请终止下来在服务器的Cisco安全进程,当仍然连接对控制台端口肯定您的用户能仍然访问路由器,如果Cisco Secure发生故障:

    'ps -ef' and look for Cisco Secure process 
    kill -9 pid_of_Cisco Secure

    重复前面的 Telnet 和启用步骤。路由器应该意识到Cisco安全进程不响应并且允许用户登陆和启用与默认特权密码。

  10. 再启动Cisco安全服务器并且建立远程登录会话到路由器,应该通过Cisco Secure验证,有userid/密码操作员/操作的为了检查您的控制台端口用户的验证通过Cisco Secure。保持已远程登录的到路由器,并且在特权模式,直到您肯定您能登陆到路由器到控制台端口,例如,您的对路由器的原始连接注销到控制台端口,然后请重新连接到控制台端口。登陆的控制台端口认证与使用上一个userid/密码组合应该当前是到Cisco Secure。例如, userid/密码操作员/操作密码cisco必须然后用于为了启用

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

增加授权

添加授权是可选的。

默认情况下,路由器上有三个命令级别:

  • 权限级别—包括禁用、enable (event)退出、帮助和注销的0

  • 权限级别1 —正常级在Telnet和提示符说router>

  • 权限级别15 —请启用级别,并且提示符说router-

因为可以使用的命令取决于Cisco IOS功能集, Cisco IOS软件版本,型号路由器,等等,没有全面列表所有at命令级别1和15。例如, show ipx route不是存在仅IP特性组,显示ip nat trans不用Cisco IOS软件版本10.2.X代码,因为NAT当时未介绍,并且show environment不是存在路由器型号没有电源和温度监测。

可以找到在一个特定路由器的可以使用的命令一个特定的级别的输入a 即可获得。

控制台端口授权未被添加作为功能,直到CSCdi82030实现。默认情况下控制台端口授权关闭偶然减轻可能性锁定在路由器外面。如果用户通过控制台对路由器进行物理访问,则控制台端口授权并不十分有效。但是,控制台端口授权可以打开在line con 0命令下在CSCdi82030实现以授权EXEC默认的Cisco IOS镜像|WORD命令。

完成这些步骤:

  1. 路由器可以配置通过Cisco Secure授权命令或一些级别。此路由器配置允许所有用户在服务器上设置每个命令授权。您能通过Cisco Secure授权所有命令,但是,如果服务器发生故障,授权不是必要,因此

    使用下来Cisco安全服务器,请输入这些命令:

    输入此命令为了去除该启用认证通过Cisco Secure执行的需求:

    no aaa authentication enable default tacacs+ none

    输入这些命令为了要求authorization命令通过Cisco Secure完成:

    aaa authorization commands 0 default tacacs+ none
    aaa authorization commands 1 default tacacs+ none
    aaa authorization commands 15 default tacacs+ none
  2. 当Cisco安全服务器运行时,请远程登录到有userid/密码loneusr/lonepwd的路由器。此用户应该将不能执行所有命令除之外:

    show version
    ping <anything>
    logout

    早先的用户, adminusr/adminusr操作员/操作desusr/加密,应该仍然能由于他们的默认服务= permit执行所有命令。如果有与进程的问题,请输入在路由器的特权模式并且用此命令打开授权调试:

    terminal monitor
    debug aaa authorization

    观察服务器和,例如的路由器,您应该看到Cisco Secure交互作用什么发送的地方,答复和请求,等等。在您继续前,请更正所有问题。

  3. 路由器可以配置通过Cisco Secure授权EXEC会话。EXEC会话的AAA认证exec默认TACACS+ none命令学院TACACS+授权。

    如果应用此,影响用户时间/时间telnet/telnettodam/todamtodpm/todpmsomerouters/somerouters。在您添加此命令到路由器并且远程登录到路由器作为用户时间/时间后, EXEC会话依然是召开在一分钟(集timeout= 1)。用户telnet/telnet输入路由器,但是立即发送对另一个地址(集autocmd = “telnet 171.68.118.102")。很可能,用户todam/todamtodpm/todpm或不能访问路由器,在测试期间,取决于几点天是。用户somerouters只能远程登录到从网络10.31.1.x的路由器koala.rtp.cisco.com。Cisco Secure设法解析路由器的名称。如果使用IP地址10.31.1.5,有效,如果解决方法不发生,并且,如果使用命名考拉,有效,如果解决方法通过。

增加记账功能

添加记帐是可选的。

  1. 核算在路由器不发生,除非配置,如果路由器比Cisco IOS软件版本11.0运行Cisco IOS软件版本后。您能在路由器的启用帐户:

    aaa accounting exec default start-stop tacacs+
    aaa accounting connection default start-stop tacacs+
    aaa accounting network default start-stop tacacs+
    aaa accounting system default start-stop tacacs+

    注意: 命令记帐是残破的,在Cisco Bug ID CSCdi44140,但是,如果使用这修复的一镜像,命令记帐可能也启用。

  2. 添加在路由器的计费记录调试:

    terminal monitor
    debug aaa accounting
  3. 在控制台的调试应该显示输入服务器的计费记录,用户登录。

  4. 为了获取计费记录,作为根:

    CD $BASE/utils/bin
    ./AcctExport <filename> no_truncate

    no_truncate含义数据在数据库保留。

添加拨号用户

完成这些步骤:

  1. 在您添加拨号用户前,请确保Cisco Secure工作的其他功能。如果Cisco安全服务器和调制解调器没有工作,在此点,他们不在此点以后前工作。

  2. 添加此命令到路由器配置:

    aaa authentication ppp default if-needed tacacs+
    aaa authentication login default tacacs+ enable
    aaa authorization network default tacacs+
    chat-script default "" at&fls0=1&h1&r2&c1&d2&b1e0q2 OK

    接口配置有所不同,依赖于怎样验证执行,但是拨入线路用于此示例,与这些配置:

    interface Ethernet 0
    ip address 10.6.1.200 255.255.255.0
    
    !
    !--- CHAP/PPP authentication user:
    
    interface Async1
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode dedicated
    peer default ip address pool async
    no cdp enable
    ppp authentication chap
    
    !
    !--- PAP/PPP authentication user:
    
    interface Async2
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode dedicated
    peer default ip address pool async
    no cdp enable
    ppp authentication pap
    
    !
    !--- login authentication user with autocommand PPP:
    
    interface Async3
    ip unnumbered Ethernet0
    encapsulation ppp
    async mode interactive
    peer default ip address pool async
    no cdp enable
    
    ip local pool async 10.6.100.101 10.6.100.103
    
    line 1
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    script startup default
    script reset default
    modem Dialin
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    line 2
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    script startup default
    script reset default
    modem Dialin
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    line 3
    session-timeout 20
    exec-timeout 120 0
    autoselect during-login
    autoselect ppp
    script startup default
    script reset default
    modem Dialin
    autocommand ppp
    transport input all
    stopbits 1
    rxspeed 115200
    txspeed 115200
    flowcontrol hardware
    
    !
    
    access-list 101 deny icmp any any
  3. 从Cisco Secure的用户文件:

    • chapuser - CHAP/PPP —用户在线路1拨;地址由对等体默认IP地址池异步和IP本地地址池异步在路由器的10.6.100.101 10.6.100.103分配

    • chapaddr - CHAP/PPP —用户在线路1拨;地址10.29.1.99由服务器分配

    • chapacl - CHAP/PPP —用户在线路1拨;地址10.29.1.100由服务器分配,并且进入访问控制列表101应用(在路由器必须定义)

    • papuser - PAP/PPP —用户在线路2拨;地址由对等体默认IP地址池异步和IP本地地址池异步在路由器的10.6.100.101 10.6.100.103分配

    • papaddr - PAP/PPP —用户在线路2拨;地址10.29.1.98由服务器分配

    • papacl - PAP/PPP —用户在线路2拨;地址10.29.1.100由服务器分配,并且进入访问控制列表101应用,在路由器必须定义

    • loginauto —用户在线路3拨;登录认证用在线路的自动命令迫使用户对PPP连接并且分配从池的地址

  4. 所有用户的Microsoft Windows设置除去用户loginauto

    1. 选择Start > Programs > Accessories > Dial-Up Networking

    2. 选择连接> Make New Connection。键入一名称对于您的连接。

    3. 输入您的特定调制解调器信息。在请配置>General,选择高速度您的调制解调器,但是不在此之下检查方框。

    4. 在请配置>连接,请使用8数据位、无奇偶校验和1个结束位。呼叫首选是等待拨号音,在拨号前并且取消呼叫,如果没连接在200秒之后

    5. 在先进,请选择仅硬件流控制调制类型英文虎报

    6. 在请配置>选项,没什么应该检查除了在状态控制下。单击 Ok

    7. 在下一个窗口上,请输入目的地的电话号码,然后其次单击和然后单击完成

    8. 一旦新连接图标出现,请用鼠标右键单击它并且选择属性和然后单击服务器类型

    9. 选择PPP :WINDOWS 95, WINDOWS NT 3.5,互联网,并且不检查任何高级选项。

    10. 在允许网络协议,请检查至少TCP/IP

    11. 在TCP/IP设置下,请选择服务器指定的IP地址服务器分配的域名服务器地址使用默认网关在远程网络。单击 Ok

    12. 当您双击图标启动Connect To窗口为了拨号时,您必须填写用户名和密码字段,然后单击连接

  5. 为用户loginauto设置的Microsoft Windows 95

    1. 用户loginauto的配置,有自动命令PPP的认证用户,是相同的象为其他用户,除了在配置>选项窗口。检查Bring up terminal window after dialing

    2. 当您双击图标启动Connect To窗口拨号时,您不填写用户名和密码字段。请点击连接和,在对路由器的联系被建立后,输入在出现的黑色窗口的用户名和密码。

    3. 在验证以后,请点击Continue(F7)

验证

当前没有可用于此配置的验证过程。

故障排除

本部分提供的信息可用于对配置进行故障排除。

服务器

./Cisco安全- cx - f $BASE/CSU $BASE/config/CSU.cfg

路由器

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息。关于特定命令的更多信息,请参阅Cisco IOS Debug命令参考资料

  • 终端监视器—显示debug命令的输出和系统错误消息当前终端和会话的。

  • debug ppp negotiation - 显示在 PPP 启动期间传输的 PPP 数据包,在此启动期间将协商 PPP 选项。

  • debug ppp packet —显示被发送并且接收的PPP数据包。此指令显示低级数据包。

  • debug ppp chap —显示关于流量的信息和交换在实现质询验证协议(CHAP)的互联网络里。

  • debug aaa authentication —请参阅使用什么验证方法,并且什么这些方法结果是。

  • debug aaa authorization —请参阅使用授权什么方法,并且什么这些方法结果是。

Cisco Secure Users 文件

group = admin {
        password = clear "adminpwd"
        service = shell {
                default cmd = permit
                default attribute = permit
        }
}
 
group = oper {
        password = clear "oper"
        privilege = clear "cisco" 15
        service = shell {
                default cmd = permit
                default attribute = permit
        }
}

user = adminusr {
        password = clear "adminusr"
        default service = permit
        }

user = desusr {
        password = des "QjnXYd1kd7ePk"
        default service = permit
        }

user = operator {
        member = oper 
        default service = permit
        }

user = time {
        default service = permit
        password = clear "time"
        service = shell  {
                set timeout = 1
                default cmd = permit
                default attribute = permit
        }
}

user = todam {
        password = clear "todam"
        service = shell  {
                default cmd = permit
                default attribute = permit
                time = Any 0600 - 1200
        }
        }

user = todpm {
        password = clear "todpm"
        service = shell  {
                default cmd = permit
                default attribute = permit
                time = Any 1200 - 2359
        }
        }

user = telnet {
        password = clear "telnet"
        service = shell  {
                set autocmd = "telnet 171.68.118.102"
                        }
        }

user = limit_lifetime {
        password = clear "cisco" from
        "2 may 2001" until
        "4 may 2001"
        }
 
user = loneusr {
        password = clear "lonepwd"
        service = shell  {
                cmd = show {
                permit "ver"
                }
                cmd = ping {
                permit "."
                }
                cmd = logout {
                permit "."
                }
        }
}
 
user = chapuser {
        default service = permit
        password = chap "chapuser"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                }
        }
}

user = chapaddr {
        password = chap "chapaddr"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set addr = 10.29.1.99
                }
        }
}

user = chapacl {
        default service = permit
        password = chap "chapacl"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set inacl = 101
                        set addr = 10.29.1.100
                }
        }
}

user = papuser {
        default service = permit
        password = pap "papuser"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                }
        }
}

user = papaddr {
        default service = permit
        password = pap "papaddr"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set addr = 10.29.1.98
                }
        }
}

user = papacl {
        default service = permit
        password = chap "papacl"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        set inacl = 101
                        set addr = 10.29.1.100
                }
        }
}

user = loginauto {
        default service = permit
        password = clear "loginauto"
        service = ppp {
                protocol = lcp {
                        }
                protocol = ip {
                        }
        }
 }

user = somerouters {
   password = clear "somerouters"
   allow koala ".*" "10\.31\.1\.*"
   allow koala.rtp.cisco.com ".*" "10\.31\.1\.*"
   allow 10.31.1.5 ".*" "10\.31\.1\.*"
   refuse ".*" ".*" ".*"
   service=shell {
   default cmd=permit
   default attribute=permit
   }
   }

相关信息


Document ID: 13850