Anticisco
http://anticisco.ru/forum/

tacacs+ и настройка ограничений
http://anticisco.ru/forum/viewtopic.php?f=2&t=10873
Страница 1 из 1

Автор:  kolesov [ 05 мар 2019, 15:45 ]
Заголовок сообщения:  tacacs+ и настройка ограничений

Всем привет!

Руководством поставлена задача дать возможность дежурным инженерам вносить изменения в конфигурации коммутаторов (2960). А именно добавлять vlan-ы, изменять switchmode, и т.п. По сути - разрешить менеджмент портов. Но не всех. Есть uplink порты, которые инженерам трогать нельзя.

Установил Tacacs+, соединил его по LDAP c AD. Авторизуюсь под доменной учеткой на устройстве.
Но дальше дело не идет...
Понятно, что должно быть (хотя бы для начала) две группы - инженеры и админы. С админами все просто, им можно все. А вот как быть с инженерами, которым можно
Код:
interface gigabitEthernet 1/0/1

а вот
Код:
interface gigabitEthernet 1/0/24

уже нельзя.

Кто-нибудь реализовывал такие конфигурации, можете поделиться примерами?
Спасибо.

Автор:  aliotru [ 05 мар 2019, 16:15 ]
Заголовок сообщения:  Re: tacacs+ и настройка ограничений

если у вас acs или ise то как то так
Вложение:
Снимок.JPG
Снимок.JPG [ 21.01 КБ | Просмотров: 3069 ]

Автор:  kolesov [ 05 мар 2019, 16:22 ]
Заголовок сообщения:  Re: tacacs+ и настройка ограничений

у меня tac_plus на линукс

Автор:  aliotru [ 05 мар 2019, 16:50 ]
Заголовок сообщения:  Re: tacacs+ и настройка ограничений

ну так почитайте к ней ман
Код:
group = users{
    default service = deny
    service = exec {
    priv-lvl = 15
    }
}
user = user1 {
    member = users
    cmd = configure {
        permit .*
        }
    cmd = interface fastethernet 0/1{
        permit .*
        }
    cmd = interface fastethernet 0/1{
        permit .*
        }

Либо наоборот - все разрешайте, а что не нужно - запрещайте.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/