Một khi user đã được xác thực, thì ta cần giới hạn những quyền mà họ được phép sử dụng. Điều đó được thực hiện thông qua câu lệnh aaa authorization. Những giới hạn có thể áp đặt vào hoạt động hay dịch vụ được yêu cầu bởi router.
Với việc cấp quyền, AAA thiết lập một sub-administrator để cho phép truy cập vào chế độ configuration mode, nhưng chỉ có thể sử dụng một tập nhỏ các lệnh được phép nên việc cấu hình router sẽ bị hạn chế. Cú pháp dùng để cấp quyền khá đơn giản, nó xác định hoạt động hay dịch vụ (network, exec, command level, config-command, reverse- access) được sử dụng cho user.
Dạng tổng quát của câu lệnh cấp thẩm quyền là:
aaa authorization service-type {default | list-
name} method1 [method2] [method3]
Câu lệnh trên có ý nghĩa như sau:
aaa authorization do-what? check-how?
do-what? có thể là:
network: tham số này (dùng phương pháp check-how) để cấp quyền và thiết lập các yêu cầu dịch vụ có liên quan đến mạng như là SLIP, PPP.
exec: tham số này (dùng phương pháp check-how) để cấp quyền nếu user được phép khởi tạo hoặc chạy trong chế độ EXEC shell.
Nếu TACACS+ hoặc RADIUS được sử dụng, thì có thể cơ sở dữ liệu sẽ
trả về một thông tin với câu lệnh tự động cho người dùng.
command level: tham số này (dùng phương pháp check-how) để
cấp quyền cho các lệnh tại mức phân quyền xác định trước. Mức phân quyền (privilege) có giá trị từ 1 đến 15.
reverse-access: tham số này (dùng phương pháp check-
how) để cấp quyền cho phép thực thi reverse telnet.
check-how? là các phương pháp dùng để thực thi, chỉ ra xác thực tiến hành ở đâu.
Tham số check-how? có thể là:
tacacs+: với tham số này, thẩm quyền TACACS+ sẽ được tiến hành trước bằng cặp giá trị thuộc tính AV (attribute-value) đến từng user riêng biệt. Khi một user muốn làm một do-what? thì cơ sở dữ liệu TACACS sẽ được kiểm tra.
radius: với tham số này, thẩm quyền RADIUS sẽ được thực hiện bằng việc gắn các thuộc tính cho username trên RADIUS server. Mỗi username cùng với thuộc tính được lưu trữ bên trong RADIUS
database.
if-authenticated: với tham số này, nếu một user được xác thực rồi, thì họ được phép thiết lập chức năng. Chú ý rằng ở đây không kiểm tra thẩm quyền mà chỉ cần user có trong cơ sở dữ liệu là đã phù hợp.
none: với tham số này, router không đòi hỏi thông tin thẩm quyền cho do-what?. Thẩm quyền không được thiết lập và một câu truy vấn sẽ được gởi đến cơ sở dữ liệu.
local: với tham số này, router hoặc access server sẽ kiểm tra username/password được cấu hình ở chế độ configure mode lưu cục bộ trong router.
krb5-instance: với tham số này, router sẽ truy vấn đến Kerberos server để yêu cầu cấp thẩm quyền. Thẩm quyền sẽ được lưu trong Kerberos server.
Nhìn chung, thẩm quyền có thể cài đặt theo nhiều cách. Vấn đề là tìm kiếm xem thử trong database hay tài nguyên nào có cặp AV hay thuộc tính để cung cấp cho router câu trả lời khi có yêu cầu cấp thẩm quyền. Ví d ụ :
Router(config)#aaa new-model
Router(config)#aaa authentication login myaaa tacacs+ local Router(config)#aaa authorization exec tacacs+ local
Router(config)#aaa authorization command 1 tacacs+ local Router(config)#aaa authorization command 15 tacacs+ local Trong ví dụ trên, AAA được enable với câu lệnh aaa new-model, phương thức xác thực được xác định với tên là “myaaa”. Dòng thứ 3
xác định rằng nếu một user đã login vào rồi thì có thể truy cập trực tiếp vào EXEC mode. TACACS+ sẽ được xét xem thử user có được phép thiết lập chức năng hay không?
Hai dòng cuối tương tự nhau. Nếu user đã login vào rồi sẽ được kiểm tra trong TACACS database xem xét mức phân quyền của user đó. Các mức phân quyền có thể có trên router là từ 1 – 15.