 |
 |
 |
|
Страница 1 из 1
|
[ Сообщений: 9 ] |
|
| Автор |
Сообщение |
|
fapser
Зарегистрирован: 25 мар 2009, 13:19
Сообщения: 6
|
Вопрос по Role-Based CLI, у меня работает в сети AAA сервер по TACACS+
аутентифицирет, авторизует всех кто заходит на устройства (cisco).
Необходимо сделать и локальную аутентификацию, авторизацию
и как одно из решений делать это через privilige level,
но исходя из вышеизложенного есть более современный и гибкий метод через
Role-Based CLI.
1) в случае работоспособности ААА-сервера аутентификация и авторизация происходит
на нем (сделано)
2) Как в случае падения ААА-сервера произвести аутентификацию и авторизацию локально + чтобы когда пользователь входит в систему чтобы ему не вводить #enable 5 чтобы попасть на свой уровень а после ввода логина и пароля попадать сразу на свой уровень с настроенными для этого пользователя командами с приглашением # ?
3) Как настроить взаимодействие Role-Based CLI с ААА ума не приложу?
Люди добрые подскажите кто чем может:) Заранее благодарю!
|
| 25 мар 2009, 13:23 |
|
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
|
Надо немного поэкспериментировать
Как направление мысли:
aaa authorization exec default group tacacs local
(авторизацию тоже можно делать не на одном сервере, а перебирая методы)
|
| 26 мар 2009, 23:35 |
|
|
|
fapser
Зарегистрирован: 25 мар 2009, 13:19
Сообщения: 6
|
я уже ОБэксперементировался!  необходимы реально работающие советы
|
| 30 мар 2009, 11:48 |
|
|
|
fapser
Зарегистрирован: 25 мар 2009, 13:19
Сообщения: 6
|
то есть на выходе должно быть :
1) Захожу по ssh (он уже настроен) ввожу login/password
2) Появляется приглашение # с командами разрешенными в parser view
|
| 30 мар 2009, 11:51 |
|
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
|
При локальной аутентификации к юзеру можно напрямую привязать созданный view
user <USER> view <VIEW>
При аутентификации (а вернее, авторизации) через TACACS по-моему у юзера тоже есть такой атрибут... Но это надо проверить. Поищите в расширенных атрибутах (включаются, как правило, отдельно в закладке advanced) упоминание о view. У меня сейчас под рукой нет ААА-сервера к сожалению
|
| 30 мар 2009, 12:45 |
|
|
|
fapser
Зарегистрирован: 25 мар 2009, 13:19
Сообщения: 6
|
Да для TACACS+ существует такой атрибут как “cli-view-name", но это уже отошло для меня на второй план так как не получается сначала сделать локально:(
При "user <USER> view <VIEW>" все равно приходится для входа в привилигированный режим писать :
>enable view nameofview
и password а есть ли возможность после ввода логина и пароля сразу попадать в #?
|
| 30 мар 2009, 13:10 |
|
|
|
fapser
Зарегистрирован: 25 мар 2009, 13:19
Сообщения: 6
|
и еще получается заходить н6а устройство при настройке user <USER> view <VIEW> secret xxxxx, а не user <USER> view <VIEW>
|
| 30 мар 2009, 13:12 |
|
|
|
fapser
Зарегистрирован: 25 мар 2009, 13:19
Сообщения: 6
|
у меня получилось:)
|
| 13 апр 2009, 11:02 |
|
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
|
Это хорошо  Где зарылась собака?
|
| 13 апр 2009, 12:32 |
|
|
|
|
Страница 1 из 1
|
[ Сообщений: 9 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 53 |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения
|
|
|
|
