forum.opennet.ru - "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS" (12)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"	+/–
Сообщение от NikaSoul25 on 14-Июл-10, 14:44
Здравствуйте! Есть задача разграничить доступ пользователей и админов для управления конфигом циско. На acs в Shared Profile-Components->Shell Command Authorization Sets->Add создала набор команд для пользователей с необходимыми командами. настроила на циске аутентификацию с tacacs : aaa authentication login default group tacacs local enable настроила на циске уровни привелегий команд privilege interface level 5 ip privilege interface level 5 description privilege configure level 5 line privilege configure level 5 interface privilege exec level 5 ping privilege exec level 5 configure terminal privilege exec level 5 configure privilege exec level 5 show running-config privilege exec level 5 show Подскажите пожалуйста где и какие настройки делать для пользователей чтобы аутентификация происходила с tacacs?
Ответить \| Правка \| Cообщить модератору

Оглавление

Ограниченный доступ к конфигу Cisco с помощью ACS TACACS, karen durinyan, 15:05 , 14-Июл-10, (1)

Ограниченный доступ к конфигу Cisco с помощью ACS TACACS, NikaSoul25, 15:40 , 14-Июл-10, (2)

Ограниченный доступ к конфигу Cisco с помощью ACS TACACS, karen durinyan, 15:52 , 14-Июл-10, (3)

Ограниченный доступ к конфигу Cisco с помощью ACS TACACS, NikaSoul25, 08:05 , 15-Июл-10, (4)

Ограниченный доступ к конфигу Cisco с помощью ACS TACACS, karen durinyan, 09:36 , 15-Июл-10, (5)

Ограниченный доступ к конфигу Cisco с помощью ACS TACACS, NikaSoul25, 11:45 , 16-Июл-10, (6)

Ограниченный доступ к конфигу Cisco с помощью ACS TACACS, karen durinyan, 14:18 , 16-Июл-10, (7)

Ограниченный доступ к конфигу Cisco с помощью ACS TACACS, NikaSoul25, 12:16 , 19-Июл-10, (8)

Ограниченный доступ к конфигу Cisco с помощью ACS TACACS, karen durinyan, 15:38 , 19-Июл-10, (9)

Ограниченный доступ к конфигу Cisco с помощью ACS TACACS, NikaSoul25, 13:33 , 21-Июл-10, (10)

Ограниченный доступ к конфигу Cisco с помощью ACS TACACS, green79, 00:19 , 02-Сен-10, (11)

Ограниченный доступ к конфигу Cisco с помощью ACS TACACS, den, 15:37 , 10-Фев-11, (12)

Сообщения по теме [Сортировка по времени | RSS]

1. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS" +/–

Сообщение от karen durinyan (ok) on 14-Июл-10, 15:05

>[оверквотинг удален]
>privilege configure level 5 line
>privilege configure level 5 interface
>privilege exec level 5 ping
>privilege exec level 5 configure terminal
>privilege exec level 5 configure
>privilege exec level 5 show running-config
>privilege exec level 5 show
>
>Подскажите пожалуйста где и какие настройки делать для пользователей чтобы аутентификация происходила
>с tacacs?
privet,
na ciske.
!
tacacs-server host IP_OF_TAC_SERVER
tacacs-server key 7 *****************
!
! esli xotite chtobi tac paketi shli s konkretnogo interfeisa
ip tacacs source-interface INTERFACE
!
aaa new-model
!
!
aaa authentication login default group tacacs+ local enable
aaa authentication enable default enable
!
aaa authorization exec default group tacacs+ local
aaa authorization commands 0 default group tacacs+ local
aaa authorization commands 1 default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
!
!esli xotite uznat kto chto delal
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default stop-only group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default stop-only group tacacs+
!
!
imeete vvidu chto eto to chto ja xotel delat' dlja menja :) mozhet nado chto to poprovit dlja vashei zadachi.
udachi.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS" +/–

Сообщение от NikaSoul25 on 14-Июл-10, 15:40

а где задаются настройки и пароль для входа пользователя.
локально на циске могу задать
username support privilege 5 password 0 support
а как сделать те же настройки на TACACS ?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS" +/–

Сообщение от karen durinyan (ok) on 14-Июл-10, 15:52

>а где задаются настройки и пароль для входа пользователя.
>локально на циске могу задать
> username support privilege 5 password 0 support
>а как сделать те же настройки на TACACS ?
konkretno dlja vashei tac version ne znaju. u menja tacacs+-F4.0.4.19 ot shrubbery... http://www.shrubbery.net/tac_plus/
v nem eto vigledit tak:
# Key
key = "******" #to zhe samoe chto na ciske
accounting file = /var/log/tacacs/accounting.log
group = admin {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}
group = net-staff {
        service = exec {
                priv-lvl = 15
        }
        cmd = telnet {
                permit ".*"
        }
        cmd = show {
                permit ".*"
        }
        cmd = ping {
                permit ".*"
        }
        cmd = traceroute {
                permit ".*"
        }
        cmd = exit {
                permit ".*"
        }
        cmd = shutdown {
                permit ".*"
        }
        cmd = "no shutdown" {
                permit ".*"
        }
}

### Netops Users ###
user = karen {
        login = des PASSWORD (des encrypted)
        member = admin
        name = "Karen Durinyan"
}
...
### Network Staff ###
user = user1 {
        login = des PASSWORD (des encrypted)
        member = net-staff
        name = "User 1"
}
...
nado documentaciu smotret' dlja vashei verson tac.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS" +/–

Сообщение от NikaSoul25 on 15-Июл-10, 08:05

у меня по-другому. Все настройки privilege  берутся из ACS и делаются на нем же. Но вот как настроить польхователей в ACS не знаю, в этом и вопрос.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS" +/–

Сообщение от karen durinyan (ok) on 15-Июл-10, 09:36

>у меня по-другому. Все настройки privilege  берутся из ACS и делаются
>на нем же. Но вот как настроить польхователей в ACS не
>знаю, в этом и вопрос.
mozhet tak?
https://bto.bluecoat.com/packetguide/8.3/info/configure-taca...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS" +/–

Сообщение от NikaSoul25 on 16-Июл-10, 11:45

>>у меня по-другому. Все настройки privilege  берутся из ACS и делаются
>>на нем же. Но вот как настроить польхователей в ACS не
>>знаю, в этом и вопрос.
>
>mozhet tak?
>https://bto.bluecoat.com/packetguide/8.3/info/configure-taca...
я эти настройки сделала уже....только авторизация на cisco не проходит под пользователем созданным в ACS. Может в логах посмотреть? только не знаю где, подскажите пожалуйста.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS" +/–

Сообщение от karen durinyan (ok) on 16-Июл-10, 14:18

>>>у меня по-другому. Все настройки privilege  берутся из ACS и делаются
>>>на нем же. Но вот как настроить польхователей в ACS не
>>>знаю, в этом и вопрос.
>>
>>mozhet tak?
>>https://bto.bluecoat.com/packetguide/8.3/info/configure-taca...
>
>я эти настройки сделала уже....только авторизация на cisco не проходит под пользователем
>созданным в ACS. Может в логах посмотреть? только не знаю где,
>подскажите пожалуйста.
kanechno podskazhu :)
show loggind
dlja debug
esli vi zashli na cisco s konsoli to:
debug tacacs accounting
debug tacacs authentication
debug tacacs authorization
esli vi zashli s pomoshchu ssh ili telnet to
terminal monitor
debug tacacs accounting
debug tacacs authentication
debug tacacs authorization
posle etogo poprobiete loginitsa s userom na takacse. Vi dolzhni uvidet debug na terminale.

v konche na zabudte
undebug all
a to debug budet kushat' cpu.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS" +/–

Сообщение от NikaSoul25 on 19-Июл-10, 12:16

Все получилось. Спасибо.
Теперь в Shell Command Authorization Set чтобы необходимо настроить только  доступ к определенным командам, например устанавливать на интерфейсах FastEthernet desciption(для примера). И смотреть show run.
Каким образом прописываются команды?
show run напрямую не прописывается, выдается ошибка Command (show run) Contains illegal characters. Spaces are not allowed

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS" +/–

Сообщение от karen durinyan (ok) on 19-Июл-10, 15:38

>Все получилось. Спасибо.
>Теперь в Shell Command Authorization Set чтобы необходимо настроить только  доступ
>к определенным командам, например устанавливать на интерфейсах FastEthernet desciption(для примера). И
>смотреть show run.
>Каким образом прописываются команды?
>show run напрямую не прописывается, выдается ошибка Command (show run) Contains illegal
>characters. Spaces are not allowed
nezachto...
a chto esli ispolzovat' "" ili ''?
to est':
"show run" ili 'show run'

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS" +/–

Сообщение от NikaSoul25 on 21-Июл-10, 13:33

Прописала команды аналогично : http://www.cisco.com/en/US/products/sw/secursw/ps2086/produc...
только не получается зайти в режим switchport mode access
Мне нужно разрежить пользователям с правами техподдержки прописать аутентификацию с помощью  dot1x.
Подскажите пожалуйста..

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS" +/–

Сообщение от green79 (ok) on 02-Сен-10, 00:19

>Прописала команды аналогично : http://www.cisco.com/en/US/products/sw/secursw/ps2086/produc...
>только не получается зайти в режим switchport mode access
>Мне нужно разрежить пользователям с правами техподдержки прописать аутентификацию с помощью
>dot1x.
>Подскажите пожалуйста..
в вашем случае надо использовать и ваш кусок конфига и предложенный выше товарисчем
имхо примерно так:
кусь
privilege interface level X switchport
privilege configure level X interface
privilege exec level X configure terminal
кусь
кусь
group = net-staff {
        service = exec {
                priv-lvl = X
        }
        cmd = congifure {
                permit terminal
        }
кусь
только я бы не юзал priv-lv = 15
...
я так понял , что нельзя разграничить доступ к conf t (т.е. разрешить только что-то определенное) только средствами tacacs+

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS" +/–

Сообщение от den (??) on 10-Фев-11, 15:37

>[оверквотинг удален]
> esli vi zashli s pomoshchu ssh ili telnet to
> terminal monitor
> debug tacacs accounting
> debug tacacs authentication
> debug tacacs authorization
> posle etogo poprobiete loginitsa s userom na takacse. Vi dolzhni uvidet debug
> na terminale.
> v konche na zabudte
> undebug all
> a to debug budet kushat' cpu.
можно и для ацл-ов сделать ....
username remote privilege 8 secret 5 ****
!
privilege ipenacl all level 8 deny
privilege ipenacl all level 8 permit
privilege ipenacl all level 8 no deny
privilege ipenacl all level 8 no permit
privilege ipenacl level 8 no
privilege configure level 8 ip access-list extended
privilege configure level 8 ip access-list standard
privilege configure level 8 ip access-list
privilege configure level 8 ip
privilege exec level 8 configure terminal
privilege exec level 8 configure
!
http://it-admin.org/cisco-systems/dobavleniya-polzovatelya-v...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"	+/–
Сообщение от karen durinyan (ok) on 14-Июл-10, 15:05
>[оверквотинг удален] >privilege configure level 5 line >privilege configure level 5 interface >privilege exec level 5 ping >privilege exec level 5 configure terminal >privilege exec level 5 configure >privilege exec level 5 show running-config >privilege exec level 5 show > >Подскажите пожалуйста где и какие настройки делать для пользователей чтобы аутентификация происходила >с tacacs? privet, na ciske. ! tacacs-server host IP_OF_TAC_SERVER tacacs-server key 7 ***************** ! ! esli xotite chtobi tac paketi shli s konkretnogo interfeisa ip tacacs source-interface INTERFACE ! aaa new-model ! ! aaa authentication login default group tacacs+ local enable aaa authentication enable default enable ! aaa authorization exec default group tacacs+ local aaa authorization commands 0 default group tacacs+ local aaa authorization commands 1 default group tacacs+ local aaa authorization commands 15 default group tacacs+ local ! !esli xotite uznat kto chto delal aaa accounting exec default start-stop group tacacs+ aaa accounting commands 1 default stop-only group tacacs+ aaa accounting commands 15 default stop-only group tacacs+ aaa accounting connection default start-stop group tacacs+ aaa accounting system default stop-only group tacacs+ ! ! imeete vvidu chto eto to chto ja xotel delat' dlja menja :) mozhet nado chto to poprovit dlja vashei zadachi. udachi.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"	+/–
	Сообщение от NikaSoul25 on 14-Июл-10, 15:40
	а где задаются настройки и пароль для входа пользователя. локально на циске могу задать username support privilege 5 password 0 support а как сделать те же настройки на TACACS ?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"	+/–
	Сообщение от karen durinyan (ok) on 14-Июл-10, 15:52
	>а где задаются настройки и пароль для входа пользователя. >локально на циске могу задать > username support privilege 5 password 0 support >а как сделать те же настройки на TACACS ? konkretno dlja vashei tac version ne znaju. u menja tacacs+-F4.0.4.19 ot shrubbery... http://www.shrubbery.net/tac_plus/ v nem eto vigledit tak: # Key key = "*****" #to zhe samoe chto na ciske accounting file = /var/log/tacacs/accounting.log group = admin { default service = permit service = exec { priv-lvl = 15 } } group = net-staff { service = exec { priv-lvl = 15 } cmd = telnet { permit "." } cmd = show { permit "." } cmd = ping { permit "." } cmd = traceroute { permit "." } cmd = exit { permit "." } cmd = shutdown { permit "." } cmd = "no shutdown" { permit "." } } ### Netops Users ### user = karen { login = des PASSWORD (des encrypted) member = admin name = "Karen Durinyan" } ... ### Network Staff ### user = user1 { login = des PASSWORD (des encrypted) member = net-staff name = "User 1" } ... nado documentaciu smotret' dlja vashei verson tac.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"	+/–
	Сообщение от NikaSoul25 on 15-Июл-10, 08:05
	у меня по-другому. Все настройки privilege берутся из ACS и делаются на нем же. Но вот как настроить польхователей в ACS не знаю, в этом и вопрос.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"	+/–
	Сообщение от karen durinyan (ok) on 15-Июл-10, 09:36
	>у меня по-другому. Все настройки privilege берутся из ACS и делаются >на нем же. Но вот как настроить польхователей в ACS не >знаю, в этом и вопрос. mozhet tak? https://bto.bluecoat.com/packetguide/8.3/info/configure-taca...
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"	+/–
	Сообщение от NikaSoul25 on 16-Июл-10, 11:45
	>>у меня по-другому. Все настройки privilege берутся из ACS и делаются >>на нем же. Но вот как настроить польхователей в ACS не >>знаю, в этом и вопрос. > >mozhet tak? >https://bto.bluecoat.com/packetguide/8.3/info/configure-taca... я эти настройки сделала уже....только авторизация на cisco не проходит под пользователем созданным в ACS. Может в логах посмотреть? только не знаю где, подскажите пожалуйста.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"	+/–
	Сообщение от karen durinyan (ok) on 16-Июл-10, 14:18
	>>>у меня по-другому. Все настройки privilege берутся из ACS и делаются >>>на нем же. Но вот как настроить польхователей в ACS не >>>знаю, в этом и вопрос. >> >>mozhet tak? >>https://bto.bluecoat.com/packetguide/8.3/info/configure-taca... > >я эти настройки сделала уже....только авторизация на cisco не проходит под пользователем >созданным в ACS. Может в логах посмотреть? только не знаю где, >подскажите пожалуйста. kanechno podskazhu :) show loggind dlja debug esli vi zashli na cisco s konsoli to: debug tacacs accounting debug tacacs authentication debug tacacs authorization esli vi zashli s pomoshchu ssh ili telnet to terminal monitor debug tacacs accounting debug tacacs authentication debug tacacs authorization posle etogo poprobiete loginitsa s userom na takacse. Vi dolzhni uvidet debug na terminale. v konche na zabudte undebug all a to debug budet kushat' cpu.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"	+/–
	Сообщение от NikaSoul25 on 19-Июл-10, 12:16
	Все получилось. Спасибо. Теперь в Shell Command Authorization Set чтобы необходимо настроить только доступ к определенным командам, например устанавливать на интерфейсах FastEthernet desciption(для примера). И смотреть show run. Каким образом прописываются команды? show run напрямую не прописывается, выдается ошибка Command (show run) Contains illegal characters. Spaces are not allowed
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"	+/–
	Сообщение от karen durinyan (ok) on 19-Июл-10, 15:38
	>Все получилось. Спасибо. >Теперь в Shell Command Authorization Set чтобы необходимо настроить только доступ >к определенным командам, например устанавливать на интерфейсах FastEthernet desciption(для примера). И >смотреть show run. >Каким образом прописываются команды? >show run напрямую не прописывается, выдается ошибка Command (show run) Contains illegal >characters. Spaces are not allowed nezachto... a chto esli ispolzovat' "" ili ''? to est': "show run" ili 'show run'
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"	+/–
	Сообщение от NikaSoul25 on 21-Июл-10, 13:33
	Прописала команды аналогично : http://www.cisco.com/en/US/products/sw/secursw/ps2086/produc... только не получается зайти в режим switchport mode access Мне нужно разрежить пользователям с правами техподдержки прописать аутентификацию с помощью dot1x. Подскажите пожалуйста..
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"	+/–
	Сообщение от green79 (ok) on 02-Сен-10, 00:19
	>Прописала команды аналогично : http://www.cisco.com/en/US/products/sw/secursw/ps2086/produc... >только не получается зайти в режим switchport mode access >Мне нужно разрежить пользователям с правами техподдержки прописать аутентификацию с помощью >dot1x. >Подскажите пожалуйста.. в вашем случае надо использовать и ваш кусок конфига и предложенный выше товарисчем имхо примерно так: кусь privilege interface level X switchport privilege configure level X interface privilege exec level X configure terminal кусь кусь group = net-staff { service = exec { priv-lvl = X } cmd = congifure { permit terminal } кусь только я бы не юзал priv-lv = 15 ... я так понял , что нельзя разграничить доступ к conf t (т.е. разрешить только что-то определенное) только средствами tacacs+
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Ограниченный доступ к конфигу Cisco с помощью ACS TACACS"	+/–
	Сообщение от den (??) on 10-Фев-11, 15:37
	>[оверквотинг удален] > esli vi zashli s pomoshchu ssh ili telnet to > terminal monitor > debug tacacs accounting > debug tacacs authentication > debug tacacs authorization > posle etogo poprobiete loginitsa s userom na takacse. Vi dolzhni uvidet debug > na terminale. > v konche na zabudte > undebug all > a to debug budet kushat' cpu. можно и для ацл-ов сделать .... username remote privilege 8 secret 5 **** ! privilege ipenacl all level 8 deny privilege ipenacl all level 8 permit privilege ipenacl all level 8 no deny privilege ipenacl all level 8 no permit privilege ipenacl level 8 no privilege configure level 8 ip access-list extended privilege configure level 8 ip access-list standard privilege configure level 8 ip access-list privilege configure level 8 ip privilege exec level 8 configure terminal privilege exec level 8 configure ! http://it-admin.org/cisco-systems/dobavleniya-polzovatelya-v...
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору