https://www.opennet.ru/openforum/vsluhforumID6/14436.html юзаю цыску 35хх и фрирадиус, скомпиленный на freeBSD.<br>чо я хачу - хочу авторизировать доступ к цыске по радиусу.<br>радиус юзает системную базу пользователей самой фряхи. все вроде работает но...<br>как мне разгарничить привилегии? файлик users не канает. админов очень много и постоянно кого-то прописывать/изменять нет ни времени.<br><br>1. разделить доступ по привилегиям<br>2. на некоторые цыски запретить доступ вообще энным аккаунтам.<br><br>фрирадиус использую без мускуля.<br> https://www.opennet.ru/openforum/vsluhforumID6/14436.html#13 Tue, 25 Sep 2007 07:32:09 GMT &gt;вощем решил я таки свою проблему полностью. <br>&gt;всем спасибо кто помогал и советовал. <br>&gt;работает так как мне и надо было. <br><br>А решение какое нашел хоть скажи, людям интересно, да и задокументировать надо! Тебе от нас спасибо заранее :)<br> https://www.opennet.ru/openforum/vsluhforumID6/14436.html#12 Mon, 24 Sep 2007 10:13:38 GMT вощем решил я таки свою проблему полностью.<br>всем спасибо кто помогал и советовал.<br>работает так как мне и надо было.<br> https://www.opennet.ru/openforum/vsluhforumID6/14436.html#11 Fri, 21 Sep 2007 13:26:36 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;после авторизации на радиусе он залогинется на циске сразу в enable <br>&gt;&gt;&gt;режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение <br>&gt;&gt;&gt;определенных команд cisco IOS с определенным уровнем полномочий. <br>&gt;&gt;<br>&gt;&gt;большое спасибо за совет! помог! <br>&gt;&gt;теперь следующая проблеммка, разделить всех на две три группы. <br>&gt;&gt;с полными правами, ограниченными правами и запрещающими правами. <br>&gt;<br>&gt;Со всем вышеперечисленным очень хорошо справляется Cisco ACS. <br>&gt;Легко ищется в осле :) <br><br>я знаю что ACS рулит, но - у нас фирма юзает только лицензионный софт. придет проверка, аха, крякнутый - заплатите ка штраф, а идем-ка мы тебя посадим.<br>нет, это выход но... ни кто покупать не будет.<br> https://www.opennet.ru/openforum/vsluhforumID6/14436.html#10 Fri, 21 Sep 2007 12:42:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Этот параметр я указывал в файле users (подробности man radius.conf). В <br>&gt;&gt;cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия. <br>&gt;&gt;Если в users какому-то пользователю задать параметр avpair равным 15, то <br>&gt;&gt;после авторизации на радиусе он залогинется на циске сразу в enable <br>&gt;&gt;режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение <br>&gt;&gt;определенных команд cisco IOS с определенным уровнем полномочий. <br>&gt;<br>&gt;большое спасибо за совет! помог! <br>&gt;теперь следующая проблеммка, разделить всех на две три группы. <br>&gt;с полными правами, ограниченными правами и запрещающими правами. <br><br>Со всем вышеперечисленным очень хорошо справляется Cisco ACS.<br>Легко ищется в осле :)<br> https://www.opennet.ru/openforum/vsluhforumID6/14436.html#9 Fri, 21 Sep 2007 12:25:35 GMT &gt;Когда-то помнится ковырял radius и доступ к cisco. Есть такое понятие как <br>&gt;avpair. Это понятие - параметр, которые передается от радиус сервера на <br>&gt;циску и говорит о том, какими полномочиями будет обладать авторизованный пользователь. <br>&gt;Этот параметр я указывал в файле users (подробности man radius.conf). В <br>&gt;cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия. <br>&gt;Если в users какому-то пользователю задать параметр avpair равным 15, то <br>&gt;после авторизации на радиусе он залогинется на циске сразу в enable <br>&gt;режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение <br>&gt;определенных команд cisco IOS с определенным уровнем полномочий. <br><br>большое спасибо за совет! помог!<br>теперь следующая проблеммка, разделить всех на две три группы.<br>с полными правами, ограниченными правами и запрещающими правами.<br> https://www.opennet.ru/openforum/vsluhforumID6/14436.html#8 Fri, 21 Sep 2007 08:47:13 GMT &gt;Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение определенных команд cisco IOS с определенным уровнем полномочий.<br><br>гм... а как ??? поставил я в файлике users cisco-avpair = "shell:priv-lvl=15" а логинюсь все равно с левелом ниже 6-го т.е. show мне не доступна. (((<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/14436.html#7 Thu, 20 Sep 2007 14:58:51 GMT Посмотрите в файле raddb/users при использовании в текстовом формате :<br>&lt;&gt; Auth-Type := Local, User-Password == "user name"<br> Calling-Station-Id == "1.1.1.1" # - from ip address<br> Service-Type = Login-User,<br> cisco-avpair = "shell:priv-lvl=7", # login priv level<br># Reply-Messagy = "Hello, %u"<br><br>Лучше вести общую базу на mysql, FreeRadius имеет всё необходимое.<br>Но на FreeBSD придётся делать manualно.<br> https://www.opennet.ru/openforum/vsluhforumID6/14436.html#6 Thu, 20 Sep 2007 14:06:28 GMT Когда-то помнится ковырял radius и доступ к cisco. Есть такое понятие как avpair. Это понятие - параметр, которые передается от радиус сервера на циску и говорит о том, какими полномочиями будет обладать авторизованный пользователь. Этот параметр я указывал в файле users (подробности man radius.conf). В cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия. Если в users какому-то пользователю задать параметр avpair равным 15, то после авторизации на радиусе он залогинется на циске сразу в enable режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение определенных команд cisco IOS с определенным уровнем полномочий.<br> https://www.opennet.ru/openforum/vsluhforumID6/14436.html#5 Thu, 20 Sep 2007 11:41:58 GMT ладно, спрошу еще тогда:<br>как можно без использования постгре, лдапа и мускуля разделить пользователей на группы ???<br>ведь можно как-то. для чего в радиусе поля /etc/group тогда ???<br>кто нить мне поможет?<br>