Как разрешить одним одно а другим другое?

как сделать так чтобы пользователь (локальный на циско заведенный командой username ) мог исполнять только строго определенные команды, например sh run или conf t нельзя, а sh controllers можно?
На уровне 1 (изначально) доступны все непривилегированные команды. На уровне 15 (изначально) - все привилегированные. На уровне n (1...15) доступны все команды уровней с номером, не большем n. Идея простая: администратор может понизить уровень отдельных привилегированных команд до уровня m и дать доступ на этот уровень группе пользователей. Эта группа пользователей будет иметь возможность выполнять команды всех уровней, не выше m, не имея однако доступа на уровни выше m. Таким образом группы пользователей ранжируются по степени важности. Понижая приоритет clear ip accounting до 10 мы избегаем необходимости "светить" пароль уровня 15 (через который доступны все привилегированные команды) группе пользователей, работающих с этой командой, а даём ей лишь пароль уровня 10. Разрешение определённых команд пользователю на нижних уровнях privilege exec level 10 clear ip accounting (разрешили clear ip accounting)
без этой строки работать не будет:

aaa authorization command LOCAL

Ответить