Ключевые слова:cisco, tacacs, aaa, auth, (найти похожие документы)
Date: Thu, 05 Dec 2002 09:57:28 +0500
From: "Sergey N. Okishev" <owk@nvrtc.ru>
Newsgroups: ftn.ru.cisco
Subject: [Cisco] Запрос enable пароля через Tacacs+
> или группы. вот тот конфиг, который хочу чтобы работал.
>
> # /usr/local/etc/tac_plus/tac_plus.conf
> key = sabakatacacs
aaa authentication login default tacacs+ local
aaa authentication enable default tacacs+ enable
aaa authentication ppp default if-needed tacacs+
aaa authorization exec tacacs+ local if-authenticated
aaa authorization commands 15 tacacs+ if-authenticated
aaa authorization network tacacs+
user = root {
default service = permit
member = staff
name = "SysAdmin"
}
user = __enab15__ {
login = db "/usr/local/tac_plus/etc/enable.db"
}
group = staff {
default service = permit
login = db "/usr/local/tac_plus/etc/cisco.db"
access-group = routers
service = exec {
default attribute = permit
idletime = 60
priv-lvl = 15
}
}
access-group = routers {
default authentication = deny
deny message = "Access not allowed"
permit { nas-group = cisco }
}
nas-group = cisco { 192.168.0.1
}
Вот это работает по сегодняшний день. Если юзер заходит по телнету ему
дается привилегированный уровень, если с консоли - нет. Hо пароль на enablе
в консоли берется из такакса. Как сделать чтобы при входе с консоли давался
привилегированный уровень - хз. Пока не ковырял, не шибко нужно. Количество
group, access-group & nas-group может быть сколько угодно. Одни юзеры ходять
только на роутеры, другие только на коммутаторы, одним разрешается выполнять
какие-то команды на железе, другим - нет.
Как получить разный enable из такакса на разные роутеры - без понятия,
но на уровне идеи можно предложить воспользоваться __enab14__ и ниже.
Hасколько помнится из давнего эксперимента, после 7 или 8 уровня юзеру
дается привилегированный режим, отличий которого от 15го я не нашел. Да и
тут тоже кто-то писал что разницы нет, что 15й, что например 13й.
Такакс собирался
./configure --enable-db-passwd --disable-ttys --disable-putmp --enable-acl -
-prefix=/usr/local/tac_plus --enable-auto-regexp