forum.opennet.ru - "AAA-model" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"AAA-model"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"AAA-model"	+/–
Сообщение от mr_noname (ok) on 12-Авг-13, 11:35
Не могу понять один момент в настройке авторизации. Кусок типичного конфига: aaa authorization config-commands aaa authorization exec default group tacacs+ local aaa authorization commands 1 default group tacacs+ aaa authorization commands 15 default group tacacs+ local Почему для первой команды не указываются группы, на которые распространяется действие команды? Я ведь правильно понимаю - эти команды можно перевести на человеческий язык как "разрешить <команду> для <пользователя>"?
Ответить \| Правка \| Cообщить модератору

Оглавление

AAA-model, QRSa, 13:31 , 15-Авг-13, (1) –1

AAA-model, mr_noname, 15:45 , 17-Авг-13, (2)

AAA-model, BJ, 11:02 , 18-Авг-13, (3)

AAA-model, mr_noname, 03:38 , 20-Авг-13, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "AAA-model" –1 +/–

Сообщение от QRSa (ok) on 15-Авг-13, 13:31

Не могу согласиться с "типичностью" конфига.
Я бы предложил немного другой:
aaa authentication login default group tacacs+ local
aaa authorization config-commands
aaa authorization exec default group tacacs+ if-authenticated
aaa authorization commands 15 default group tacacs+ if-authenticated

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "AAA-model" +/–

Сообщение от mr_noname (ok) on 17-Авг-13, 15:45

Ну ведь совсем не об этом вопрос. Я только про авторизацию для config-commands спрашивал, остальное для сравнения.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "AAA-model" +/–

Сообщение от BJ (ok) on 18-Авг-13, 11:02

config-commands "включает" авторизацию для режима конфигурирования (используя кстати 15 лвл).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "AAA-model" +/–

Сообщение от mr_noname (ok) on 20-Авг-13, 03:38

Я уточню на всякий случай, чтобы никто не запутался - config-commands включает не авторизацию входа в режим в конфигурирования, а авторизацию самих команд режима конфигурирования. Так как некоторые команды одинаковы для режима config и для режима exec, то чтобы выделить, например, последние, можно отключить авторизацию команд config-режима.
Вот цитата с cisco.com:
If aaa authorization commands level method command is enabled, all commands, including configuration commands, are authorized by AAA using the method specified. Because there are configuration commands that are identical to some EXEC-level commands, there can be some confusion in the authorization process. Using the no aaa authorization config-commands command stops the network access server from attempting configuration command authorization.
--
Но всё равно не понятно, почему эта авторизация отключается только для всех сразу, и нельзя её отключить для кого-то конкретного.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "AAA-model"	–1 +/–
Сообщение от QRSa (ok) on 15-Авг-13, 13:31
Не могу согласиться с "типичностью" конфига. Я бы предложил немного другой: aaa authentication login default group tacacs+ local aaa authorization config-commands aaa authorization exec default group tacacs+ if-authenticated aaa authorization commands 15 default group tacacs+ if-authenticated
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "AAA-model"	+/–
	Сообщение от mr_noname (ok) on 17-Авг-13, 15:45
	Ну ведь совсем не об этом вопрос. Я только про авторизацию для config-commands спрашивал, остальное для сравнения.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "AAA-model"	+/–
Сообщение от BJ (ok) on 18-Авг-13, 11:02
config-commands "включает" авторизацию для режима конфигурирования (используя кстати 15 лвл).
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "AAA-model"	+/–
	Сообщение от mr_noname (ok) on 20-Авг-13, 03:38
	Я уточню на всякий случай, чтобы никто не запутался - config-commands включает не авторизацию входа в режим в конфигурирования, а авторизацию самих команд режима конфигурирования. Так как некоторые команды одинаковы для режима config и для режима exec, то чтобы выделить, например, последние, можно отключить авторизацию команд config-режима. Вот цитата с cisco.com: If aaa authorization commands level method command is enabled, all commands, including configuration commands, are authorized by AAA using the method specified. Because there are configuration commands that are identical to some EXEC-level commands, there can be some confusion in the authorization process. Using the no aaa authorization config-commands command stops the network access server from attempting configuration command authorization. -- Но всё равно не понятно, почему эта авторизация отключается только для всех сразу, и нельзя её отключить для кого-то конкретного.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору