- Juniper & tacacs+,
 anonymous, 17:09 , 03-Янв-14 (1)>[оверквотинг удален]
> Но в ситуации, когда я захочу дать кому-либо частичные права на изменение
> конфигурации, мне придется на всех джуниках создать класс пользователей и указать
> команды которые разрешены этому классу. А если я захочу их изменить?
> Согласитесь, это не очень удобно...
> Я уверен, что средствами самого tacacs+ можно решить эту проблему, хотя я
> и не нашел как. Все что в открытом доступе на сайте
> "juniper.com", умалчивает о такой возможности. А поддержку нам так и не
> купили.
> Возможно, кто-то занимался подобным вопросом? Прошу подсказать, как сделано у Вас.
> Спасибо.Доброго времени суток.
Сразу оговорюсь - juniper'ов у меня нет, поэтому насколько нижеследующее будет соответствовать Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+.
В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации по регулярному выражению. В других реализациях протокола это может быть не реализовано, например, поэтому важно знать, какой сервер вы используете.
Оборудование cisco работает с этим (кажется, они этот сервер и писали, а потом выложили в открытый доступ), juniper, по идее, тоже.
http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
Из того, что нагуглилось сходу.
Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно особых возникнуть.
- Juniper & tacacs+, nixit, 16:00 , 04-Янв-14 (2)
Эм... По ссылке
Not FoundThe requested URL /techpubs/en_US/junos13.2/topics/concept/authentication-regular-expressions-usage-allow-deny-command-overview.html was not found on this server. Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
>[оверквотинг удален]
> Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+.
> В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации
> по регулярному выражению. В других реализациях протокола это может быть не
> реализовано, например, поэтому важно знать, какой сервер вы используете.
> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а
> потом выложили в открытый доступ), juniper, по идее, тоже.
> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
> Из того, что нагуглилось сходу.
> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
> особых возникнуть.
- Juniper & tacacs+, anonymous, 12:25 , 05-Янв-14 (3)
>[оверквотинг удален]
>> Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+.
>> В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации
>> по регулярному выражению. В других реализациях протокола это может быть не
>> реализовано, например, поэтому важно знать, какой сервер вы используете.
>> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а
>> потом выложили в открытый доступ), juniper, по идее, тоже.
>> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
>> Из того, что нагуглилось сходу.
>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
>> особых возникнуть.Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions on a RADIUS or TACACS+ Server to Allow or Deny Access to Commands".
- Juniper & tacacs+, nixit, 13:42 , 05-Янв-14 (4)
Да открыл, но без указания local-user-name даже не хочет авторизовываться. А при указании оного, регулярные выражения работать не будут.>[оверквотинг удален]
>>> реализовано, например, поэтому важно знать, какой сервер вы используете.
>>> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а
>>> потом выложили в открытый доступ), juniper, по идее, тоже.
>>> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
>>> Из того, что нагуглилось сходу.
>>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
>>> особых возникнуть.
> Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions
> on a RADIUS or TACACS+ Server to Allow or Deny Access
> to Commands".
- Juniper & tacacs+, anonymous, 14:25 , 05-Янв-14 (5)
>[оверквотинг удален]
>>>> реализовано, например, поэтому важно знать, какой сервер вы используете.
>>>> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а
>>>> потом выложили в открытый доступ), juniper, по идее, тоже.
>>>> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
>>>> Из того, что нагуглилось сходу.
>>>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
>>>> особых возникнуть.
>> Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions
>> on a RADIUS or TACACS+ Server to Allow or Deny Access
>> to Commands".Значит, как-то не так настроено AAA, если приоритетом идет локальная БД пользователей, а не tacacs+.
Обычно локальные пользователи идут fallback'ом в случае недоступности tacacs+ сервера и указываются после настроек tacacs+.
- Juniper & tacacs+, nixit, 15:37 , 05-Янв-14 (6)
Локально указывается класс пользователя и права, по другому - никак. А сами пользователи не заведены локально.>[оверквотинг удален]
>>>>> Из того, что нагуглилось сходу.
>>>>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
>>>>> особых возникнуть.
>>> Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions
>>> on a RADIUS or TACACS+ Server to Allow or Deny Access
>>> to Commands".
> Значит, как-то не так настроено AAA, если приоритетом идет локальная БД пользователей,
> а не tacacs+.
> Обычно локальные пользователи идут fallback'ом в случае недоступности tacacs+ сервера
> и указываются после настроек tacacs+.
|
Версия для распечатки
Juniper & tacacs+, 
