<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Hi List,</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Has anyone got AAA command authorization working correctly on modern Netiron code, on the MLX/CER's?</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">With a working TACACS+ server, with the below aaa configuration, I don't receive Command Authorization commands (confirmed with logs / pcap) for commands prefaced with 'no', but do for other configuration level commands.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">This presents a problem when I can block commands like 'router mpls', but other commands such as 'no router mpls' still work.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Testing is done with a logged in user with priv level 0 (super user). Testing has been done with a few varents of 5.8, 6.0 and 6.2 code all with the same results.<br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Has anyone else ran into this issue? Or has working command authorization with a different (eg; radius) setup?<br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">AAA config:</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">tacacs-server host 192.0.2.200<br>tacacs-server key tacacskeyhere<br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">aaa authentication enable default tacacs+ <br>aaa authentication login default tacacs+ <br>aaa authentication login privilege-mode<br>aaa authorization commands 0 default tacacs+ <br>aaa authorization exec default tacacs+ <br>aaa accounting commands 0 default start-stop tacacs+ <br>aaa accounting exec default start-stop tacacs+ <br>aaa accounting system default start-stop tacacs+ <br><br></div><br>-- <br><div dir="ltr" class="gmail_signature">Email: <a href="mailto:pat@ge3k.net" target="_blank">pat@ge3k.net</a></div></div></div></div></div>