Orion Alpha-A10E TACACS+

dunna

Posted November 3, 2015 (edited)

Добрый день участникам форума.

Значит, задача следующая: подружить TACACS+ (tac_plus) с Orion Alpha A10E

Вот настройки на коммутаторе:

enable encrypt-password W5Q2OBeJdSX9yjjtzyEGEg==
user name admin encrypt-password W5Q2OBeJdSX9yjjtzyEGEg== privilege 15
user login tacacs-local server-no-response 
enable login tacacs-local server-no-response 
aaa accounting login enable 
enable auth user 
hostname oe1-rcuss-mts
tacacs-server 10.11.104.1
tacacs-server encrypt-key 7k8bAVU7HSlG
tacacs accounting-server 10.11.104.1
tacacs authorization enable

Вот настройки TACACS+ (tac_plus):

key = super

group = admin {
 default service = permit
 service = exec {
   priv-lvl = 15
   orion-priority = 15
 }
}

group = operator {
 default service = permit
 service = exec {
  priv-lvl = 1
  orion-priority = 1
}
}

user = denis {
login = cleartext "123456"
member = operator
}

user = admin {
login = cleartext "123456"
member = admin
}

user = $enab15$ {
login = cleartext "654321"
}

Суть вопроса: необходимо, чтобы пользователь при аутентификации сразу авторизовался с нужным priv. level

enable login bypass telnet tacacs {0-15} - не решение, в данном случае все пользователи аутентифицированные по такакс авторизуются с заданным privilege level = 15, что не есть хорошо.

Вычитал, что возможно используется для конкретного вендора особая пара attribute=value, документация довольно скупая - ничего нет, примеры очень простые.

Сейчас настроено таким образом: создал на tacacs пользователя с именем $enab15$, задал ему пароль. Админ, после аутентификации вводит enable, затем вводит этот пароль, для неадминских учеток создан пользователь $enab4$ со своим паролем.

Но все это - также не решение.

Кстати, в конфиге такакса пытался применить AV pair orion-priority = {0-15}, ну это так - от безысходности)))

Дополнительная информация:

Коммутатор:

Network Operating System

Product name: Alpha-A10E

NOS Version NOS_4.14.1968.Alpha-A10E.002.20150417.(Compiled Apr 17 2015, 09:56:09)

Support ipv6: YES

Bootstrap Version Bootstrap_3.1.7.Alpha-A10E.1.20140402

FPGA Version

Hardware Alpha-A10E. Version Rev.A.0

System MacAddress is :f8f0.8271.0283

Serial number: 140207000100B13802B0443G

Alpha-A10E with

64M bytes DRAM

8M bytes Flash Memory

Сервер такакс:

TACACS+ 4.0.4.27a-1

Edited November 3, 2015 by dunna

Share this post

Link to post

Share on other sites

dunna

Posted November 5, 2015

Нашел решение:

enable encrypt-password W5Q2OBeJdSX9yjjtzyEGEg==
user name admin encrypt-password W5Q2OBeJdSX9yjjtzyEGEg== privilege 15
user login tacacs-local server-no-response 
enable login local-tacacs 
aaa accounting login enable 
enable auth bypass telnet tacacs 0-15
hostname oe1-test
tacacs-server 10.11.104.1
tacacs-server encrypt-key T5A6NCLoDr3Q
tacacs accounting-server 10.11.104.1
tacacs authorization enable

на такакс-сервере:

key = super

group = admin {
 default service = permit
 service = exec {
 priv-lvl = 15
 }
}

group = operator {
 default service = permit
 service = exec {
 priv-lvl = 4
 }
}

user = denis {
login = cleartext "1234"
member = operator
}

user = admin {
login = cleartext "123456"
member = admin
}

Итак:

пользователь аутентифицированный по такакс (подключаемый удаленно по telnet) автоматически авторизуется со своим уровнем привелегий, заданными в настойках такакс-сервера(priv-lvl)

Пользователь, подключаемый локально консолью и аутентифицированный под своей учетной записью с любым уровнем привилегий имеет возможность при входе в enable ввести локальный пароль администратора с priv-lvl = 15

В случае недоступности такакс-сервера - действуют локальные логин и пароль

Sign In

dunna

Share this post

Link to post

Share on other sites

dunna

Share this post

Link to post

Share on other sites

Create an account or sign in to comment

Create an account

Sign in