Для возможности использования общих наборов разрешенных/запрещенных команд и атрибутов в нескольких правилах WNAM имеет возможность создавать наборы команд.
Они представляют собой логические объединения последовательности команд под заданным именем.
В дальнейшем, при настройке профилей подключения TACACS+ (профилей администраторов) вы можете применять как индивидуальные команды, так и ссылаться на один или несколько наборов команд.
Число создаваемых наборов команд, число элементов в наборе, не ограничивается.
Созданные наборы команд применяются в профилях:
При этом отмеченные (выбранные) наборы команд можно перемещать друг относительно друга.
При срабатывании профиля автоматически формируется список разрешенных/запрещенных команд и атрибутов, исходя из следующих правил:
Наборы разрешенных команд и наборы разрешенных атрибутов - два упорядоченных списка, действительных на время сессии TACACS+ подключения
В каждый из списков попадают настройки, последовательно,
- из наборов команд (упорядоченно), настроенных в профиле
- из самого профиля
- для этого пользователя
Если в список добавляется какая-либо команда, которая добуквенно уже присутствует в этом списке, она замещает собой предыдущее совпадение. Проверка идет по имени команды, без учёта регистра.
Результирующий список временно сохраняется (для сессии). В процессе авторизации набранной пользователем команды он просматривается "сверху вниз" до первого совпадения (с учетом поиска по регулярному выражению, т.е. подстроке). Первая совпавшая запись будет являться результатом авторизации (в зависимости от настройки - успешной либо нет).
Таким образом, вы можете определить один или несколько наборов команд, и "скорректировать" формируемые или правила в параметрах профиля авторизации или подключающегося (локального) пользователя. Например, допустим, что в наборе команд "КомандыДляАдминов" заданы два правила:
configure * - регулярное выражение - разрешено
copy running-config startup-config - разрешено
И в параметрах пользователя test_user задано:
copy running-config startup-config - запрещено
show * - регулярное выражение - разрешено
Результирующий набор объединяет первый блок команд со вторым, что в итоге даёт такой набор команд:
configure * - регулярное выражение - разрешено
copy running-config startup-config - запрещено
show * - регулярное выражение - разрешено