The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Разграничение доступа к цискам черезе CiscoSecure ACS Tacacs..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Разграничение доступа к цискам черезе CiscoSecure ACS Tacacs..."  +/
Сообщение от john_32 email(ok) on 17-Июн-09, 08:41 
Коллеги, добрый день!

Нужна помощь, в нашей организации произошло разделение доступа к оборудованию Cisco!
Доступ к цискам осуществляется через Tacacs+ CiscoSecure ACS на все оборудование,
в tacacs+ есть два логина, вопрос, как можно настроить, что бы один логин имел доступ только к тем цискам какие ему разрешены??? помогите пожалуйста разобраться!

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Разграничение доступа к цискам черезе CiscoSecure ACS Tacacs..."  +/
Сообщение от enter on 17-Июн-09, 11:53 
>Коллеги, добрый день!
>
>Нужна помощь, в нашей организации произошло разделение доступа к оборудованию Cisco!
>Доступ к цискам осуществляется через Tacacs+ CiscoSecure ACS на все оборудование,
>в tacacs+ есть два логина, вопрос, как можно настроить, что бы один
>логин имел доступ только к тем цискам какие ему разрешены??? помогите
>пожалуйста разобраться!

Перечислить в списке “разрешенных” циски на которые можно заходить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Разграничение доступа к цискам черезе CiscoSecure ACS Tacacs..."  +/
Сообщение от john_32 email(ok) on 17-Июн-09, 12:11 
>>Коллеги, добрый день!
>>
>>Нужна помощь, в нашей организации произошло разделение доступа к оборудованию Cisco!
>>Доступ к цискам осуществляется через Tacacs+ CiscoSecure ACS на все оборудование,
>>в tacacs+ есть два логина, вопрос, как можно настроить, что бы один
>>логин имел доступ только к тем цискам какие ему разрешены??? помогите
>>пожалуйста разобраться!
>
>Перечислить в списке “разрешенных” циски на которые можно заходить.

А где данный список взять? в настройках я нашел только Network access filter

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Разграничение доступа к цискам черезе CiscoSecure ACS Tacacs..."  +/
Сообщение от enter on 17-Июн-09, 12:21 

>А где данный список взять? в настройках я нашел только Network access
>filter

Какая версия Cisco ACS?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Разграничение доступа к цискам черезе CiscoSecure ACS Tacacs..."  +/
Сообщение от john_32 email(ok) on 17-Июн-09, 12:56 
>
>>А где данный список взять? в настройках я нашел только Network access
>>filter
>
>Какая версия Cisco ACS?

Версия 4.1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Разграничение доступа к цискам черезе CiscoSecure ACS Tacacs..."  +/
Сообщение от enter on 17-Июн-09, 13:08 
>>
>>>А где данный список взять? в настройках я нашел только Network access
>>>filter
>>
>>Какая версия Cisco ACS?
>
>Версия 4.1

Для 4.1 это называется Network Access Restrictions и в настройках интерфейса нужно включить опцию User-Level Network Access Restrictions

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Разграничение доступа к цискам черезе CiscoSecure ACS Tacacs..."  +/
Сообщение от john_32 email(ok) on 17-Июн-09, 13:15 
>>>
>>>>А где данный список взять? в настройках я нашел только Network access
>>>>filter
>>>
>>>Какая версия Cisco ACS?
>>
>>Версия 4.1
>
>Для 4.1 это называется Network Access Restrictions и в настройках интерфейса нужно
>включить опцию User-Level Network Access Restrictions

Следующий вопрос как привязать данные правила к логину? )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Разграничение доступа к цискам черезе CiscoSecure ACS Tacacs..."  +/
Сообщение от john_32 email(ok) on 17-Июн-09, 13:34 

>Следующий вопрос как привязать данные правила к логину? )

я создал группу железок (NS) которую мне надо разрешить логину.
в настройках логина появился пункт NARs (Shared Network Access Restrictions )

да и еще когда я добавляю в  NARs группу железок, то получается, что я или разрешаю(логин может попасть на любую циску) или запрещаю доступ (Доступ закрыт на все циски),  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Разграничение доступа к цискам черезе CiscoSecure ACS Tacacs..."  +/
Сообщение от enter on 17-Июн-09, 14:34 

>получается, что я или разрешаю(логин может попасть на любую циску) или
>запрещаю доступ (Доступ закрыт на все циски),

Выдержка из мануала

In the Network Access Restrictions table, under Per User Defined Network Access Restrictions,
check the Define IP-based access restrictions check box.
b. To specify whether the subsequent listing specifies permitted or denied IP addresses, from the Table
Defines list, select one:
– Permitted Calling/Point of Access Locations
– Denied Calling/Point of Access Locations
c. Select or enter the information in the following boxes:
– AAA Client—Select All AAA Clients, or the name of a network device group (NDG), or the
name of the individual AAA client, to which to permit or deny access.
– Port—Type the number of the port to which to permit or deny access. You can use the asterisk
(*) as a wildcard to permit or deny access to all ports on the selected AAA client.
– Address—Type the IP address or addresses to use when performing access restrictions. You can use the asterisk (*) as a wildcard.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Разграничение доступа к цискам черезе CiscoSecure ACS Tacacs..."  +/
Сообщение от john_32 email(ok) on 18-Июн-09, 05:40 

>[оверквотинг удален]
>– AAA Client—Select All AAA Clients, or the name of a network
>device group (NDG), or the
>name of the individual AAA client, to which to permit or deny
>access.
>– Port—Type the number of the port to which to permit or
>deny access. You can use the asterisk
>(*) as a wildcard to permit or deny access to all ports
>on the selected AAA client.
>– Address—Type the IP address or addresses to use when performing access
>restrictions. You can use the asterisk (*) as a wildcard.

данный мануал я уже читал, но он мне особо не помог!

делаю так, в настройках пользователя которому мне надо установить ограничение, в NARs добавляю:
AAA Client: NDG:NS
Port: 22
Address: *
а дальше устанавливаю
Permitted Calling/Point of Access Locations - при данной функции доступ закрыт на все
Denied Calling/Point of Access Locations - при данной функции доступ открыт на все

вот мне и не понятно что не так?????


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Разграничение доступа к цискам черезе CiscoSecure ACS Tacacs..."  +/
Сообщение от enter on 18-Июн-09, 09:36 
>[оверквотинг удален]
>Port: 22
>Address: *
>а дальше устанавливаю
>Permitted Calling/Point of Access Locations - при данной функции доступ закрыт на
>все
>Denied Calling/Point of Access Locations - при данной функции доступ открыт на
>все
>
>вот мне и не понятно что не так?????
>

В Port лучше поставить *
В Address указать IP с какого будут заходить или *
и тогда Permitted или Denied будут иметь отношение к указанной NDG, конкретной циске и т.д. по мануалу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Разграничение доступа к цискам черезе CiscoSecure ACS Tacacs..."  +/
Сообщение от john_32 email(ok) on 18-Июн-09, 10:24 
>[оверквотинг удален]
>>Denied Calling/Point of Access Locations - при данной функции доступ открыт на
>>все
>>
>>вот мне и не понятно что не так?????
>>
>
>В Port лучше поставить *
>В Address указать IP с какого будут заходить или *
>и тогда Permitted или Denied будут иметь отношение к указанной NDG, конкретной
>циске и т.д. по мануалу.

Спасибо большое, помогло!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру