The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

[Cisco] Запрос enable пароля через Tacacs+ (cisco tacacs aaa auth)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: cisco, tacacs, aaa, auth,  (найти похожие документы)
Date: Thu, 05 Dec 2002 09:57:28 +0500 From: "Sergey N. Okishev" <owk@nvrtc.ru> Newsgroups: ftn.ru.cisco Subject: [Cisco] Запрос enable пароля через Tacacs+ > или группы. вот тот конфиг, который хочу чтобы работал. > > # /usr/local/etc/tac_plus/tac_plus.conf > key = sabakatacacs aaa authentication login default tacacs+ local aaa authentication enable default tacacs+ enable aaa authentication ppp default if-needed tacacs+ aaa authorization exec tacacs+ local if-authenticated aaa authorization commands 15 tacacs+ if-authenticated aaa authorization network tacacs+ user = root { default service = permit member = staff name = "SysAdmin" } user = __enab15__ { login = db "/usr/local/tac_plus/etc/enable.db" } group = staff { default service = permit login = db "/usr/local/tac_plus/etc/cisco.db" access-group = routers service = exec { default attribute = permit idletime = 60 priv-lvl = 15 } } access-group = routers { default authentication = deny deny message = "Access not allowed" permit { nas-group = cisco } } nas-group = cisco { 192.168.0.1 } Вот это работает по сегодняшний день. Если юзер заходит по телнету ему дается привилегированный уровень, если с консоли - нет. Hо пароль на enablе в консоли берется из такакса. Как сделать чтобы при входе с консоли давался привилегированный уровень - хз. Пока не ковырял, не шибко нужно. Количество group, access-group & nas-group может быть сколько угодно. Одни юзеры ходять только на роутеры, другие только на коммутаторы, одним разрешается выполнять какие-то команды на железе, другим - нет. Как получить разный enable из такакса на разные роутеры - без понятия, но на уровне идеи можно предложить воспользоваться __enab14__ и ниже. Hасколько помнится из давнего эксперимента, после 7 или 8 уровня юзеру дается привилегированный режим, отличий которого от 15го я не нашел. Да и тут тоже кто-то писал что разницы нет, что 15й, что например 13й. Такакс собирался ./configure --enable-db-passwd --disable-ttys --disable-putmp --enable-acl - -prefix=/usr/local/tac_plus --enable-auto-regexp

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру