The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

[Cisco] Запрос enable пароля через Tacacs+ (cisco tacacs aaa auth)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >> 
Ключевые слова: cisco, tacacs, aaa, auth,  (найти похожие документы)

Date: Thu, 05 Dec 2002 09:57:28 +0500
From: "Sergey N. Okishev" <owk@nvrtc.ru>
Newsgroups: ftn.ru.cisco
Subject: [Cisco] Запрос enable пароля через Tacacs+

> или группы. вот тот конфиг, который хочу чтобы работал.
>
> # /usr/local/etc/tac_plus/tac_plus.conf
> key = sabakatacacs

aaa authentication login default tacacs+ local
aaa authentication enable default tacacs+ enable
aaa authentication ppp default if-needed tacacs+
aaa authorization exec tacacs+ local if-authenticated
aaa authorization commands 15 tacacs+ if-authenticated
aaa authorization network tacacs+

user = root {
        default service = permit
        member = staff
        name = "SysAdmin"
}

user = __enab15__ {
        login = db "/usr/local/tac_plus/etc/enable.db"
}

group = staff {
        default service = permit
        login = db "/usr/local/tac_plus/etc/cisco.db"
        access-group = routers
        service = exec {
                default attribute = permit
                idletime = 60
                priv-lvl = 15
        }
}

access-group = routers {
        default authentication = deny
        deny message = "Access not allowed"
        permit { nas-group = cisco }
}

nas-group = cisco {    192.168.0.1
}

    Вот это работает по сегодняшний день. Если юзер заходит по телнету ему
дается привилегированный уровень, если с консоли - нет. Hо пароль на enablе
в консоли берется из такакса. Как сделать чтобы при входе с консоли давался
привилегированный уровень - хз. Пока не ковырял, не шибко нужно. Количество
group, access-group & nas-group может быть сколько угодно. Одни юзеры ходять
только на роутеры, другие только на коммутаторы, одним разрешается выполнять
какие-то команды на железе, другим - нет.
    Как получить разный enable из такакса на разные роутеры - без понятия,
но на уровне идеи можно предложить воспользоваться __enab14__ и ниже.
Hасколько помнится из давнего эксперимента, после 7 или 8 уровня юзеру
дается привилегированный режим, отличий которого от 15го я не нашел. Да и
тут тоже кто-то писал что разницы нет, что 15й, что например 13й.
    Такакс собирался
./configure --enable-db-passwd --disable-ttys --disable-putmp --enable-acl -
-prefix=/usr/local/tac_plus --enable-auto-regexp

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру