Anticisco http://anticisco.ru/forum/ |
|
tacacs+ и настройка ограничений http://anticisco.ru/forum/viewtopic.php?f=2&t=10873 |
Страница 1 из 1 |
Автор: | kolesov [ 05 мар 2019, 15:45 ] |
Заголовок сообщения: | tacacs+ и настройка ограничений |
Всем привет! Руководством поставлена задача дать возможность дежурным инженерам вносить изменения в конфигурации коммутаторов (2960). А именно добавлять vlan-ы, изменять switchmode, и т.п. По сути - разрешить менеджмент портов. Но не всех. Есть uplink порты, которые инженерам трогать нельзя. Установил Tacacs+, соединил его по LDAP c AD. Авторизуюсь под доменной учеткой на устройстве. Но дальше дело не идет... Понятно, что должно быть (хотя бы для начала) две группы - инженеры и админы. С админами все просто, им можно все. А вот как быть с инженерами, которым можно Код: interface gigabitEthernet 1/0/1 а вот Код: interface gigabitEthernet 1/0/24 уже нельзя. Кто-нибудь реализовывал такие конфигурации, можете поделиться примерами? Спасибо. |
Автор: | aliotru [ 05 мар 2019, 16:15 ] |
Заголовок сообщения: | Re: tacacs+ и настройка ограничений |
если у вас acs или ise то как то так Вложение: Снимок.JPG [ 21.01 КБ | Просмотров: 3069 ] |
Автор: | kolesov [ 05 мар 2019, 16:22 ] |
Заголовок сообщения: | Re: tacacs+ и настройка ограничений |
у меня tac_plus на линукс |
Автор: | aliotru [ 05 мар 2019, 16:50 ] |
Заголовок сообщения: | Re: tacacs+ и настройка ограничений |
ну так почитайте к ней ман Код: group = users{ default service = deny service = exec { priv-lvl = 15 } } user = user1 { member = users cmd = configure { permit .* } cmd = interface fastethernet 0/1{ permit .* } cmd = interface fastethernet 0/1{ permit .* } Либо наоборот - все разрешайте, а что не нужно - запрещайте. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |