hi bạn !

- Chính xác ACS hỗ trợ hết các tính năng mà bạn yêu cầu đó. Như là xác thực, cấp quyền, và ghi log command mà bạn đã gõ khi cấu hình.
Khi ghi log thì bạn nên nhớ câu lệnh:
#aaa accounting exec default start-stop group tacacs+
#aaa accounting commands 15 default start-stop group tacacs+

Bạn nên xem kỹ lại nha. Chúc bạn thành công

Chào bạn tin_superman.Mình không hiểu rõ về các dòng command bạn nêu ra,đó là lệnh show hay là lệnh gì?.Mà sau khi đánh command đó thì quá trình xác thực và cấp quyền sẽ ghi lại ở đâu?Bạn có thể chi tiết câu hỏi này giúp mình với nha.Cảm ơn bạn nhiều.
Nếu được nhờ bạn để lại yahoo,mình xin hỏi bạn vài vấn đề

Hi tin_superman.Bạn có thể giải thích giúp mình về 2 command này được không,mình thất sự không hiểu lắm:
#aaa accounting exec default start-stop group tacacs+
#aaa accounting commands 15 default start-stop group tacacs+
Và mình muốn hỏi bạn thêm 1 câu nữa là 2 command trên được thao tác trong mode config phải không?Sao mình thao tác mà không được

Bạn cần phải enable aaa bằng command aaa new-model
R(config)#aaa accounting exec default start-stop group tacacs+ //lệnh này cho phép user chỉ đc sử dụng những command đã đc qui hoạch

R(config)#aaa accounting commands 15 default start-stop group tacacs+ // lệnh này dùng để cho phép user có thể sử dụng lệnh privile level 15

chào anh em, em có phương pháp này có thể quản lý đơn giản hơn.
Phương án em đưa ra như thế này.
Về phân quyền user thì có thể làm như sau:
khi có người dùng truy cập qua telnet hay ssh thì trong mode vty bạn để chế độ level được phép vào luôn trong mode configure là level 15 qua câu lệnh: Router(config-line)#privilege level 15
khi thiết lập xong cái này việc còn lại đầu tiên là bạn sẽ tạo user có các mức Level từ 0 đến 15. Trong đó quyền của các User này như sau:
user level 0 - 1: khi telnet hay ssh sẽ được chuyển vào mode user mode. Để vào được bên trong Router để cấu hình, thì user này phải biết được password enable.
user level 2 - 14: khi telnet hay ssh sẽ được chuyển vào mode Privileged EXEC Mode:. Mode này theo bình thường thì có thể vào cấu hình chi tiết và show file cấu hình của Router. Nhưng khi sử dụng các user trong mode này thì người dùng sẽ không có quyền vào mode configure và cũng không thể sử dụng lệnh show running-config và show startup-config
show startup-config.
user level 15: khi telnet hay ssh sẽ được chuyển vào mode Privileged EXEC Mode:. Nhưng khác với level 2 - 14, người dùng level này có toàn quyền cấu hình thiết bị.

Trên đây là cách đơn giản nhất về phân quyền trong Router. Bên cạnh đó bạn có thể thực hiện phân quyền chi tiết như sau:
Bước 1: bạn tạo 1 user có mức level là Root (không phải là người dùng ở mức level 15 nha. Bạn lưu ý, kể cả người dùng có mức level từ 0 - 14 nhưng nếu được cho quyền Root thì còn nhiều đặc quyền hơn người dùng có Level 15. ). Để tạo được người dùng có mức level này bạn sử dụng lệnh như sau: username namnt privilege 15 view root secret 5 $1$Dyh3$GbvTRka5AmtDIR6ZDqC7F0. Sau khi tạo ra người dùng có mức Root thì bạn out ra và login bằng User này nha.
Bước 2: tạo các Rules cho những nhóm người khác nhau. Cấu trúc tạo 1 Rules như sau (ví dụ đây là Rules cho người dùng chỉ có quyền show monitor và có quyền thay đổi địa chỉ IP của thiết bị):
parser view Show_Monitor (khởi tạo 1 Rules) secret 5 $1$82ya$d9Id5AzlaRyoXxfk.zOv7. (cái này chỉ là cái pass, không quan trọng lắm)
commands configure include end (lệnh này có nghĩa là cấu lệnh bạn sử dụng được là lệnh End ở trong mode configure. Các câu lệnh tiếp theo cũng dạng tương tự)
commands configure include all interface
commands exec include dir all-filesystems
commands exec include dir
commands exec include all crypto ipsec client ezvpn
commands exec include crypto ipsec client
commands exec include crypto ipsec
commands exec include crypto
commands exec include all ping ip
commands exec include ping
commands exec include configure terminal
commands exec include configure
commands exec include all show
commands exec include all debug appfw
commands exec include all debug ip inspect
commands exec include debug ip
commands exec include debug
commands exec include all clear


Bước 3: add quyền này cho người dùng. Để add quyền này bạn sử dụng câu lệnh dạng như sau:

username test view Show_Monitor secret 5 $1$iWN6$8XUscwcWXA0jhhHu.jW0l/

Rồi bạn out ra vào thử người dùng này kiểm tra thử xem nha. Chúc các bạn thành công ^^