https://www.opennet.ru/openforum/vsluhforumID6/21311.html Здравствуйте!<br>Есть задача разграничить доступ пользователей и админов для управления конфигом циско. <br>На acs в Shared Profile-Components-&gt;Shell Command Authorization Sets-&gt;Add<br>создала набор команд для пользователей с необходимыми командами.<br><br>настроила на циске аутентификацию с tacacs :<br>aaa authentication login default group tacacs local enable<br><br>настроила на циске уровни привелегий команд<br>privilege interface level 5 ip<br>privilege interface level 5 description<br>privilege configure level 5 line<br>privilege configure level 5 interface<br>privilege exec level 5 ping<br>privilege exec level 5 configure terminal<br>privilege exec level 5 configure<br>privilege exec level 5 show running-config<br>privilege exec level 5 show<br><br>Подскажите пожалуйста где и какие настройки делать для пользователей чтобы аутентификация происходила с tacacs?<br> https://www.opennet.ru/openforum/vsluhforumID6/21311.html#12 Thu, 10 Feb 2011 12:37:22 GMT &gt;[оверквотинг удален]<br>&gt; esli vi zashli s pomoshchu ssh ili telnet to <br>&gt; terminal monitor <br>&gt; debug tacacs accounting <br>&gt; debug tacacs authentication <br>&gt; debug tacacs authorization <br>&gt; posle etogo poprobiete loginitsa s userom na takacse. Vi dolzhni uvidet debug <br>&gt; na terminale.<br>&gt; v konche na zabudte <br>&gt; undebug all <br>&gt; a to debug budet kushat' cpu.<br><br>можно и для ацл-ов сделать ....<br><br>username remote privilege 8 secret 5 ****<br>!<br>privilege ipenacl all level 8 deny<br>privilege ipenacl all level 8 permit<br>privilege ipenacl all level 8 no deny<br>privilege ipenacl all level 8 no permit<br>privilege ipenacl level 8 no<br>privilege configure level 8 ip access-list extended<br>privilege configure level 8 ip access-list standard<br>privilege configure level 8 ip access-list<br>privilege configure level 8 ip<br>privilege exec level 8 configure terminal<br>privilege exec level 8 configure<br>!<br>http://it-admin.org/cisco-systems/dobavleniya-polzovatelya-v-cisco-ios-umeyushhego-menyat-access-listy.html<br> https://www.opennet.ru/openforum/vsluhforumID6/21311.html#11 Wed, 01 Sep 2010 20:19:25 GMT &gt;Прописала команды аналогично : http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_configuration_example09186a00808d9138.shtml#scenario3 <br>&gt;только не получается зайти в режим switchport mode access <br>&gt;Мне нужно разрежить пользователям с правами техподдержки прописать аутентификацию с помощью <br>&gt;dot1x. <br>&gt;Подскажите пожалуйста.. <br><br>в вашем случае надо использовать и ваш кусок конфига и предложенный выше товарисчем<br>имхо примерно так:<br><br>кусь<br><br>privilege interface level X switchport<br>privilege configure level X interface<br>privilege exec level X configure terminal<br><br>кусь<br><br>кусь<br>group = net-staff {<br> service = exec {<br> priv-lvl = X<br> }<br> cmd = congifure {<br> permit terminal<br> }<br>кусь<br><br>только я бы не юзал priv-lv = 15<br>...<br><br>я так понял , что нельзя разграничить доступ к conf t (т.е. разрешить только что-то определенное) только средствами tacacs+<br> https://www.opennet.ru/openforum/vsluhforumID6/21311.html#10 Wed, 21 Jul 2010 09:33:15 GMT Прописала команды аналогично : http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_configuration_example09186a00808d9138.shtml#scenario3<br>только не получается зайти в режим switchport mode access <br>Мне нужно разрежить пользователям с правами техподдержки прописать аутентификацию с помощью dot1x.<br>Подскажите пожалуйста..<br> https://www.opennet.ru/openforum/vsluhforumID6/21311.html#9 Mon, 19 Jul 2010 11:38:37 GMT &gt;Все получилось. Спасибо. <br>&gt;Теперь в Shell Command Authorization Set чтобы необходимо настроить только доступ <br>&gt;к определенным командам, например устанавливать на интерфейсах FastEthernet desciption(для примера). И <br>&gt;смотреть show run. <br>&gt;Каким образом прописываются команды? <br>&gt;show run напрямую не прописывается, выдается ошибка Command (show run) Contains illegal <br>&gt;characters. Spaces are not allowed <br><br>nezachto...<br><br>a chto esli ispolzovat' "" ili ''?<br>to est':<br>"show run" ili 'show run'<br> https://www.opennet.ru/openforum/vsluhforumID6/21311.html#8 Mon, 19 Jul 2010 08:16:38 GMT Все получилось. Спасибо.<br>Теперь в Shell Command Authorization Set чтобы необходимо настроить только доступ к определенным командам, например устанавливать на интерфейсах FastEthernet desciption(для примера). И смотреть show run.<br>Каким образом прописываются команды?<br>show run напрямую не прописывается, выдается ошибка Command (show run) Contains illegal characters. Spaces are not allowed <br><br> https://www.opennet.ru/openforum/vsluhforumID6/21311.html#7 Fri, 16 Jul 2010 10:18:26 GMT &gt;&gt;&gt;у меня по-другому. Все настройки privilege берутся из ACS и делаются <br>&gt;&gt;&gt;на нем же. Но вот как настроить польхователей в ACS не <br>&gt;&gt;&gt;знаю, в этом и вопрос. <br>&gt;&gt;<br>&gt;&gt;mozhet tak? <br>&gt;&gt;https://bto.bluecoat.com/packetguide/8.3/info/configure-tacacs-acs.htm <br>&gt;<br>&gt;я эти настройки сделала уже....только авторизация на cisco не проходит под пользователем <br>&gt;созданным в ACS. Может в логах посмотреть? только не знаю где, <br>&gt;подскажите пожалуйста. <br><br>kanechno podskazhu :)<br><br><br><br>show loggind<br><br>dlja debug<br><br>esli vi zashli na cisco s konsoli to:<br><br>debug tacacs accounting<br>debug tacacs authentication<br>debug tacacs authorization<br><br>esli vi zashli s pomoshchu ssh ili telnet to<br><br>terminal monitor<br>debug tacacs accounting<br>debug tacacs authentication<br>debug tacacs authorization<br><br>posle etogo poprobiete loginitsa s userom na takacse. Vi dolzhni uvidet debug na terminale.<br><br><br>v konche na zabudte<br>undebug all<br><br>a to debug budet kushat' cpu.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/21311.html#6 Fri, 16 Jul 2010 07:45:13 GMT &gt;&gt;у меня по-другому. Все настройки privilege берутся из ACS и делаются <br>&gt;&gt;на нем же. Но вот как настроить польхователей в ACS не <br>&gt;&gt;знаю, в этом и вопрос. <br>&gt;<br>&gt;mozhet tak? <br>&gt;https://bto.bluecoat.com/packetguide/8.3/info/configure-tacacs-acs.htm <br><br>я эти настройки сделала уже....только авторизация на cisco не проходит под пользователем созданным в ACS. Может в логах посмотреть? только не знаю где, подскажите пожалуйста. <br> https://www.opennet.ru/openforum/vsluhforumID6/21311.html#5 Thu, 15 Jul 2010 05:36:41 GMT &gt;у меня по-другому. Все настройки privilege берутся из ACS и делаются <br>&gt;на нем же. Но вот как настроить польхователей в ACS не <br>&gt;знаю, в этом и вопрос. <br><br>mozhet tak?<br>https://bto.bluecoat.com/packetguide/8.3/info/configure-tacacs-acs.htm<br> https://www.opennet.ru/openforum/vsluhforumID6/21311.html#4 Thu, 15 Jul 2010 04:05:07 GMT у меня по-другому. Все настройки privilege берутся из ACS и делаются на нем же. Но вот как настроить польхователей в ACS не знаю, в этом и вопрос.<br>