URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21311
[ Назад ]
Исходное сообщение
"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"
Отправлено NikaSoul25 , 14-Июл-10 14:44 
Здравствуйте!
Есть задача разграничить доступ пользователей и админов для управления конфигом циско.
На acs в  Shared Profile-Components->Shell Command Authorization Sets->Add
создала набор команд для пользователей с необходимыми командами.

настроила на циске аутентификацию с tacacs :
aaa authentication login default group tacacs local enable

настроила на циске уровни привелегий команд
privilege interface level 5 ip
privilege interface level 5 description
privilege configure level 5 line
privilege configure level 5 interface
privilege exec level 5 ping
privilege exec level 5 configure terminal
privilege exec level 5 configure
privilege exec level 5 show running-config
privilege exec level 5 show

Подскажите пожалуйста где и какие настройки делать для пользователей чтобы аутентификация происходила с tacacs?

Содержание
Сообщения в этом обсуждении
"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"
Отправлено karen durinyan , 14-Июл-10 15:05 
>[оверквотинг удален]
>privilege configure level 5 line
>privilege configure level 5 interface
>privilege exec level 5 ping
>privilege exec level 5 configure terminal
>privilege exec level 5 configure
>privilege exec level 5 show running-config
>privilege exec level 5 show
>
>Подскажите пожалуйста где и какие настройки делать для пользователей чтобы аутентификация происходила
>с tacacs?

privet,

na ciske.
!
tacacs-server host IP_OF_TAC_SERVER
tacacs-server key 7 *****************
!
! esli xotite chtobi tac paketi shli s konkretnogo interfeisa
ip tacacs source-interface INTERFACE
!
aaa new-model
!
!
aaa authentication login default group tacacs+ local enable
aaa authentication enable default enable
!
aaa authorization exec default group tacacs+ local
aaa authorization commands 0 default group tacacs+ local
aaa authorization commands 1 default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
!
!esli xotite uznat kto chto delal
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default stop-only group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default stop-only group tacacs+
!
!

imeete vvidu chto eto to chto ja xotel delat' dlja menja :) mozhet nado chto to poprovit dlja vashei zadachi.

udachi.

"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"
Отправлено NikaSoul25 , 14-Июл-10 15:40 
а где задаются настройки и пароль для входа пользователя.
локально на циске могу задать
username support privilege 5 password 0 support
а как сделать те же настройки на TACACS ?
"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"
Отправлено karen durinyan , 14-Июл-10 15:52 
>а где задаются настройки и пароль для входа пользователя.
>локально на циске могу задать
> username support privilege 5 password 0 support
>а как сделать те же настройки на TACACS ?

konkretno dlja vashei tac version ne znaju. u menja tacacs+-F4.0.4.19 ot shrubbery... http://www.shrubbery.net/tac_plus/

v nem eto vigledit tak:

# Key
key = "******" #to zhe samoe chto na ciske
accounting file = /var/log/tacacs/accounting.log

group = admin {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

group = net-staff {
        service = exec {
                priv-lvl = 15
        }
        cmd = telnet {
                permit ".*"
        }
        cmd = show {
                permit ".*"
        }
        cmd = ping {
                permit ".*"
        }
        cmd = traceroute {
                permit ".*"
        }
        cmd = exit {
                permit ".*"
        }
        cmd = shutdown {
                permit ".*"
        }
        cmd = "no shutdown" {
                permit ".*"
        }
}


### Netops Users ###
user = karen {
        login = des PASSWORD (des encrypted)
        member = admin
        name = "Karen Durinyan"
}

...

### Network Staff ###
user = user1 {
        login = des PASSWORD (des encrypted)
        member = net-staff
        name = "User 1"
}

...

nado documentaciu smotret' dlja vashei verson tac.

"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"
Отправлено NikaSoul25 , 15-Июл-10 08:05 
у меня по-другому. Все настройки privilege  берутся из ACS и делаются на нем же. Но вот как настроить польхователей в ACS не знаю, в этом и вопрос.
"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"
Отправлено karen durinyan , 15-Июл-10 09:36 
>у меня по-другому. Все настройки privilege  берутся из ACS и делаются
>на нем же. Но вот как настроить польхователей в ACS не
>знаю, в этом и вопрос.

mozhet tak?
https://bto.bluecoat.com/packetguide/8.3/info/configure-taca...

"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"
Отправлено NikaSoul25 , 16-Июл-10 11:45 
>>у меня по-другому. Все настройки privilege  берутся из ACS и делаются
>>на нем же. Но вот как настроить польхователей в ACS не
>>знаю, в этом и вопрос.
>
>mozhet tak?
>https://bto.bluecoat.com/packetguide/8.3/info/configure-taca...

я эти настройки сделала уже....только авторизация на cisco не проходит под пользователем созданным в ACS. Может в логах посмотреть? только не знаю где, подскажите пожалуйста.

"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"
Отправлено karen durinyan , 16-Июл-10 14:18 
>>>у меня по-другому. Все настройки privilege  берутся из ACS и делаются
>>>на нем же. Но вот как настроить польхователей в ACS не
>>>знаю, в этом и вопрос.
>>
>>mozhet tak?
>>https://bto.bluecoat.com/packetguide/8.3/info/configure-taca...
>
>я эти настройки сделала уже....только авторизация на cisco не проходит под пользователем
>созданным в ACS. Может в логах посмотреть? только не знаю где,
>подскажите пожалуйста.

kanechno podskazhu :)

show loggind

dlja debug

esli vi zashli na cisco s konsoli to:

debug tacacs accounting
debug tacacs authentication
debug tacacs authorization

esli vi zashli s pomoshchu ssh ili telnet to

terminal monitor
debug tacacs accounting
debug tacacs authentication
debug tacacs authorization

posle etogo poprobiete loginitsa s userom na takacse. Vi dolzhni uvidet debug na terminale.


v konche na zabudte
undebug all

a to debug budet kushat' cpu.


"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"
Отправлено NikaSoul25 , 19-Июл-10 12:16 
Все получилось. Спасибо.
Теперь в Shell Command Authorization Set чтобы необходимо настроить только  доступ к определенным командам, например устанавливать на интерфейсах FastEthernet desciption(для примера). И смотреть show run.
Каким образом прописываются команды?
show run напрямую не прописывается, выдается ошибка Command (show run) Contains illegal characters. Spaces are not allowed

"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"
Отправлено karen durinyan , 19-Июл-10 15:38 
>Все получилось. Спасибо.
>Теперь в Shell Command Authorization Set чтобы необходимо настроить только  доступ
>к определенным командам, например устанавливать на интерфейсах FastEthernet desciption(для примера). И
>смотреть show run.
>Каким образом прописываются команды?
>show run напрямую не прописывается, выдается ошибка Command (show run) Contains illegal
>characters. Spaces are not allowed

nezachto...

a chto esli ispolzovat' "" ili ''?
to est':
"show run" ili 'show run'

"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"
Отправлено NikaSoul25 , 21-Июл-10 13:33 
Прописала команды аналогично : http://www.cisco.com/en/US/products/sw/secursw/ps2086/produc...
только не получается зайти в режим switchport mode access
Мне нужно разрежить пользователям с правами техподдержки прописать аутентификацию с помощью  dot1x.
Подскажите пожалуйста..
"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"
Отправлено green79 , 02-Сен-10 00:19 
>Прописала команды аналогично : http://www.cisco.com/en/US/products/sw/secursw/ps2086/produc...
>только не получается зайти в режим switchport mode access
>Мне нужно разрежить пользователям с правами техподдержки прописать аутентификацию с помощью  
>dot1x.
>Подскажите пожалуйста..

в вашем случае надо использовать и ваш кусок конфига и предложенный выше товарисчем
имхо примерно так:

кусь

privilege interface level X switchport
privilege configure level X interface
privilege exec level X configure terminal

кусь

кусь
group = net-staff {
        service = exec {
                priv-lvl = X
        }
        cmd = congifure {
                permit terminal
        }
кусь

только я бы не юзал priv-lv = 15
...

я так понял , что нельзя разграничить доступ к conf t (т.е. разрешить только что-то определенное) только средствами tacacs+

"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"
Отправлено den , 10-Фев-11 15:37 
>[оверквотинг удален]
> esli vi zashli s pomoshchu ssh ili telnet to
> terminal monitor
> debug tacacs accounting
> debug tacacs authentication
> debug tacacs authorization
> posle etogo poprobiete loginitsa s userom na takacse. Vi dolzhni uvidet debug
> na terminale.
> v konche na zabudte
> undebug all
> a to debug budet kushat' cpu.

можно и для ацл-ов сделать ....

username remote privilege 8 secret 5 ****
!
privilege ipenacl all level 8 deny
privilege ipenacl all level 8 permit
privilege ipenacl all level 8 no deny
privilege ipenacl all level 8 no permit
privilege ipenacl level 8 no
privilege configure level 8 ip access-list extended
privilege configure level 8 ip access-list standard
privilege configure level 8 ip access-list
privilege configure level 8 ip
privilege exec level 8 configure terminal
privilege exec level 8 configure
!
http://it-admin.org/cisco-systems/dobavleniya-polzovatelya-v...