|
|
|
|
Страница 1 из 1
|
[ Сообщений: 9 ] |
|
Автор |
Сообщение |
fapser
Зарегистрирован: 25 мар 2009, 13:19 Сообщения: 6
|
Вопрос по Role-Based CLI, у меня работает в сети AAA сервер по TACACS+ аутентифицирет, авторизует всех кто заходит на устройства (cisco). Необходимо сделать и локальную аутентификацию, авторизацию и как одно из решений делать это через privilige level, но исходя из вышеизложенного есть более современный и гибкий метод через Role-Based CLI.
1) в случае работоспособности ААА-сервера аутентификация и авторизация происходит на нем (сделано) 2) Как в случае падения ААА-сервера произвести аутентификацию и авторизацию локально + чтобы когда пользователь входит в систему чтобы ему не вводить #enable 5 чтобы попасть на свой уровень а после ввода логина и пароля попадать сразу на свой уровень с настроенными для этого пользователя командами с приглашением # ? 3) Как настроить взаимодействие Role-Based CLI с ААА ума не приложу?
Люди добрые подскажите кто чем может:) Заранее благодарю!
|
25 мар 2009, 13:23 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Надо немного поэкспериментировать Как направление мысли:
aaa authorization exec default group tacacs local
(авторизацию тоже можно делать не на одном сервере, а перебирая методы)
|
26 мар 2009, 23:35 |
|
|
fapser
Зарегистрирован: 25 мар 2009, 13:19 Сообщения: 6
|
я уже ОБэксперементировался! необходимы реально работающие советы
|
30 мар 2009, 11:48 |
|
|
fapser
Зарегистрирован: 25 мар 2009, 13:19 Сообщения: 6
|
то есть на выходе должно быть :
1) Захожу по ssh (он уже настроен) ввожу login/password 2) Появляется приглашение # с командами разрешенными в parser view
|
30 мар 2009, 11:51 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
При локальной аутентификации к юзеру можно напрямую привязать созданный view
user <USER> view <VIEW>
При аутентификации (а вернее, авторизации) через TACACS по-моему у юзера тоже есть такой атрибут... Но это надо проверить. Поищите в расширенных атрибутах (включаются, как правило, отдельно в закладке advanced) упоминание о view. У меня сейчас под рукой нет ААА-сервера к сожалению
|
30 мар 2009, 12:45 |
|
|
fapser
Зарегистрирован: 25 мар 2009, 13:19 Сообщения: 6
|
Да для TACACS+ существует такой атрибут как “cli-view-name", но это уже отошло для меня на второй план так как не получается сначала сделать локально:(
При "user <USER> view <VIEW>" все равно приходится для входа в привилигированный режим писать : >enable view nameofview и password а есть ли возможность после ввода логина и пароля сразу попадать в #?
|
30 мар 2009, 13:10 |
|
|
fapser
Зарегистрирован: 25 мар 2009, 13:19 Сообщения: 6
|
и еще получается заходить н6а устройство при настройке user <USER> view <VIEW> secret xxxxx, а не user <USER> view <VIEW>
|
30 мар 2009, 13:12 |
|
|
fapser
Зарегистрирован: 25 мар 2009, 13:19 Сообщения: 6
|
у меня получилось:)
|
13 апр 2009, 11:02 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Это хорошо Где зарылась собака?
|
13 апр 2009, 12:32 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 9 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 53 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|