Главная страница
О проекте Навигация Контакт
Поиск


ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Sergey N. Okishev                    2:5020/400     05 Dec 2002  10:57:28
 To : Peter Zhigulin
 Subject : Re: Разный enable на разные роутеры через Tacacs+
 -------------------------------------------------------------------------------- 
 
 
     Hello Peter Zhigulin!
 
 > или группы. вот тот кончиг, который хочу чтобы работать.
 >
 > # /usr/local/etc/tac_plus/tac_plus.conf
 > key = sabakatacacs
 
     [ погрызено ]
 
 aaa authentication login default tacacs+ local
 aaa authentication enable default tacacs+ enable
 aaa authentication ppp default if-needed tacacs+
 aaa authorization exec tacacs+ local if-authenticated
 aaa authorization commands 15 tacacs+ if-authenticated
 aaa authorization network tacacs+
 
 user = root {
         default service = permit
         member = staff
         name = "SysAdmin"
 }
 
 user = __enab15__ {
         login = db "/usr/local/tac_plus/etc/enable.db"
 }
 
 group = staff {
         default service = permit
         login = db "/usr/local/tac_plus/etc/cisco.db"
         access-group = routers
         service = exec {
                 default attribute = permit
                 idletime = 60
                 priv-lvl = 15
         }
 }
 
 access-group = routers {
         default authentication = deny
         deny message = "Access not allowed"
         permit { nas-group = cisco }
 }
 
 nas-group = cisco {    192.168.0.1
 }
 
     Вот это работает по сегодняшний день. Если юзер заходит по телнету ему
 дается привилегированный уровень, если с консоли - нет. Hо пароль на enablе
 в консоли берется из такакса. Как сделать чтобы при входе с консоли давался
 привилегированный уровень - хз. Пока не ковырял, не шибко нужно. Количество
 group, access-group & nas-group может быть сколько угодно. Одни юзеры ходять
 только на роутеры, другие только на коммутаторы, одним разрешается выполнять
 какие-то команды на железе, другим - нет.
     Как получить разный enable из такакса на разные роутеры - без понятия,
 но на уровне идеи можно предложить воспользоваться __enab14__ и ниже.
 Hасколько помнится из давнего эксперимента, после 7 или 8 уровня юзеру
 дается привилегированный режим, отличий которого от 15го я не нашел. Да и
 тут тоже кто-то писал что разницы нет, что 15й, что например 13й.
     Такакс собирался
 ./configure --enable-db-passwd --disable-ttys --disable-putmp --enable-acl -
 -prefix=/usr/local/tac_plus --enable-auto-regexp
 
     oWk
 --- ifmail v.2.15dev5
  * Origin: RTC JSC (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Разный enable на разные роутеры через Tacacs+   news.samara.net   19 Nov 2002 15:30:55 
 Re: Разный enable на разные роутеры через Tacacs+   Peter Zhigulin   29 Nov 2002 18:17:52 
 Re: Разный enable на разные роутеры через Tacacs+   Sergey N. Okishev   05 Dec 2002 10:57:28 
Архивное /ru.cisco/6486ea4f0cf5.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional