The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Разделить пользователей на группы и определить права доступа..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Разделить пользователей на группы и определить права доступа..." 
Сообщение от Router emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 24-Июн-03, 20:49  (MSK)
Возможно ли всех пользователей, подключающихся через асинхронные порты, на Cisco 2620 разделить  на несколько групп, и каждой из групп разрешить доступ лишь к определённым ресурсам на интерфейсе fastethernet. Если это возможно, то с использованием локальной базы и без использования RADIUS и TACACS(если выхода нет, то можно и через их). Мне нужен хотя-бы принцип, как это сделать.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Разделить пользователей на группы и определить права доступа..." 
Сообщение от Асен Тотин emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 25-Июн-03, 11:43  (MSK)
Привет,

наверно, возможностей несколько - я бы обдумал следующее:

1. При связывании абонента система опознает его принадлежность к одной из заданных групп, согласно которой выделяет ему IP адрес из определенной подсети.

2. Отдельные подсети для разных групп абонентов имеют разные права в локальной сети. Самый простой способ - фильтры на базе acccess lists, расположенные на Fast Ethernet-е.

Пункт 1 легче всего организовать именно через RADIUS или TACACS+. Теоретически возможно прописать всех абонентов прямо на Cisco, но если их будет много, то потом управление ими (типа, заменить пароль и все такое) будет довольно хлопотно. К тому же, и RADIUS, и TACACS+ помогут вывести статистику для каждого пользователя и облегчат решение проблем (типа, "система отказывает абоненту доступ - в чем причина?"). Определить групповую принадлежность абонента можно либо прописав каждого в отдельности в конфиге RADIUS или TACACS+, либо при помощи т.наз. hints - опознавание абонента по первой букве его username. Это работает на RADIUS, насчет TACACS+ - не уверен.

WWell,


WWell,

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Разделить пользователей на группы и определить права доступа..." 
Сообщение от Router emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 05-Июл-03, 21:37  (MSK)
>Привет,
>
>наверно, возможностей несколько - я бы обдумал следующее:
>
>1. При связывании абонента система опознает его принадлежность к одной из заданных
>групп, согласно которой выделяет ему IP адрес из определенной подсети.
>
>2. Отдельные подсети для разных групп абонентов имеют разные права в локальной
>сети. Самый простой способ - фильтры на базе acccess lists, расположенные
>на Fast Ethernet-е.
>
>Пункт 1 легче всего организовать именно через RADIUS или TACACS+. Теоретически возможно
>прописать всех абонентов прямо на Cisco, но если их будет много,
>то потом управление ими (типа, заменить пароль и все такое) будет
>довольно хлопотно. К тому же, и RADIUS, и TACACS+ помогут вывести
>статистику для каждого пользователя и облегчат решение проблем (типа, "система отказывает
>абоненту доступ - в чем причина?"). Определить групповую принадлежность абонента можно
>либо прописав каждого в отдельности в конфиге RADIUS или TACACS+, либо
>при помощи т.наз. hints - опознавание абонента по первой букве его
>username. Это работает на RADIUS, насчет TACACS+ - не уверен.
>
>WWell,

А можно ли это сделать без установки RADIUS или TACACS, с использованием только возможностей маршрутизатора, только так, чтобы пользователь одной группы не мог получить права другой .
А во втором методе, если я правильно понял, каждому пользователю назначается свой IP-адрес, по которому с помощью ACCESS-LISTов определяются его права доступа. А если этот пользователь пропишет себе IP другой группы, то он ведь и получит права той группы, которой принадлежит прописанный IP. Или от этого можно как-нибудь избавиться?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Разделить пользователей на группы и определить права доступа..." 
Сообщение от Асен Тотин emailНайти другие сообщения данного автораПоместить сообщение в закладки. См. нижнее поле навигации. on 07-Июл-03, 12:06  (MSK)
>А можно ли это сделать без установки RADIUS или TACACS, с использованием
>только возможностей маршрутизатора, только так, чтобы пользователь одной группы не мог
>получить права другой .

Да, можнопрописать всех user-ов на самой Кошке. Хлопотно, но можно.

>А если этот пользователь пропишет себе IP другой группы, то он
>ведь и получит права той группы, которой принадлежит прописанный IP. Или
>от этого можно как-нибудь избавиться?

Если это user на dialup связи, он не может изменить свой IP адрес из-за того, что Кошка ведет учет какой IP адрес на какой терминальной линии находится.

WWell,


  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру