Cisco Cisco Packet Data Gateway (PDG)

 

Enables the authorization of TACACS+ CLI users on a command-by-command, command + command argument, or 
command prompt basis. If the user is not authorized to execute the command, the command will fail. 

 

All 

 

Security Administrator, Administrator 

 

Exec > Global Configuration > TACACS+ Configuration 

 

Entering the above command sequence results in the following prompt: 

[local]host_name(config-tacacs)# 

 

[ no ] authorization { command | prompt | arguments }  

 

Disables a configured TACACS+ authorization 

, 

, or 

 setting. 

 

Specifies the type of authorization behavior to enforce: 



 

: Enables per-command authorization. The TACACS+ server is contacted for each command 

and each command is authorized for the user. If the user is not authorized to execute the command, 
then the command fails. If the user is authorized for the command, the command is executed. 



 

: Enables per-command authorization, as described for the 

 option above. However, 

since commands may be duplicated in different CLI modes, this version of the command 
authorization also passes the command prompt string to the server. The TACACS+ server is 
contacted for each prompt and command and must have a matching string for the prompt/command 
combination. Enabling 

 authorization supersedes 

 authorization, since the prompt 

and command must be authorized together.  



 

: Enables per-command and command + argument authorization. The TACACS+ server 

authorizes each command and its arguments for the user. If the user is not authorized to execute the 
command and the corresponding arguments, the command fails. If the command does not contain 
any arguments, then the command only is passed to the authorization server.  

Use this command to configure the authorization method for TACACS+-based CLI sessions.  

 

The following command requires per-command TACACS+ authorization: 

authorization command