dunna Опубликовано 3 ноября, 2015 (изменено) · Жалоба Добрый день участникам форума. Значит, задача следующая: подружить TACACS+ (tac_plus) с Orion Alpha A10E Вот настройки на коммутаторе: enable encrypt-password W5Q2OBeJdSX9yjjtzyEGEg== user name admin encrypt-password W5Q2OBeJdSX9yjjtzyEGEg== privilege 15 user login tacacs-local server-no-response enable login tacacs-local server-no-response aaa accounting login enable enable auth user hostname oe1-rcuss-mts tacacs-server 10.11.104.1 tacacs-server encrypt-key 7k8bAVU7HSlG tacacs accounting-server 10.11.104.1 tacacs authorization enable Вот настройки TACACS+ (tac_plus): key = super group = admin { default service = permit service = exec { priv-lvl = 15 orion-priority = 15 } } group = operator { default service = permit service = exec { priv-lvl = 1 orion-priority = 1 } } user = denis { login = cleartext "123456" member = operator } user = admin { login = cleartext "123456" member = admin } user = $enab15$ { login = cleartext "654321" } Суть вопроса: необходимо, чтобы пользователь при аутентификации сразу авторизовался с нужным priv. level enable login bypass telnet tacacs {0-15} - не решение, в данном случае все пользователи аутентифицированные по такакс авторизуются с заданным privilege level = 15, что не есть хорошо. Вычитал, что возможно используется для конкретного вендора особая пара attribute=value, документация довольно скупая - ничего нет, примеры очень простые. Сейчас настроено таким образом: создал на tacacs пользователя с именем $enab15$, задал ему пароль. Админ, после аутентификации вводит enable, затем вводит этот пароль, для неадминских учеток создан пользователь $enab4$ со своим паролем. Но все это - также не решение. Кстати, в конфиге такакса пытался применить AV pair orion-priority = {0-15}, ну это так - от безысходности))) Дополнительная информация: Коммутатор: Network Operating System Copyright © 2006-2013 Orion Networks International, Inc. Product name: Alpha-A10E NOS Version NOS_4.14.1968.Alpha-A10E.002.20150417.(Compiled Apr 17 2015, 09:56:09) Support ipv6: YES Bootstrap Version Bootstrap_3.1.7.Alpha-A10E.1.20140402 FPGA Version Hardware Alpha-A10E. Version Rev.A.0 System MacAddress is :f8f0.8271.0283 Serial number: 140207000100B13802B0443G Alpha-A10E with 64M bytes DRAM 8M bytes Flash Memory Сервер такакс: TACACS+ 4.0.4.27a-1 Изменено 3 ноября, 2015 пользователем dunna Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dunna Опубликовано 5 ноября, 2015 · Жалоба Нашел решение: enable encrypt-password W5Q2OBeJdSX9yjjtzyEGEg== user name admin encrypt-password W5Q2OBeJdSX9yjjtzyEGEg== privilege 15 user login tacacs-local server-no-response enable login local-tacacs aaa accounting login enable enable auth bypass telnet tacacs 0-15 hostname oe1-test tacacs-server 10.11.104.1 tacacs-server encrypt-key T5A6NCLoDr3Q tacacs accounting-server 10.11.104.1 tacacs authorization enable на такакс-сервере: key = super group = admin { default service = permit service = exec { priv-lvl = 15 } } group = operator { default service = permit service = exec { priv-lvl = 4 } } user = denis { login = cleartext "1234" member = operator } user = admin { login = cleartext "123456" member = admin } Итак: пользователь аутентифицированный по такакс (подключаемый удаленно по telnet) автоматически авторизуется со своим уровнем привелегий, заданными в настойках такакс-сервера(priv-lvl) Пользователь, подключаемый локально консолью и аутентифицированный под своей учетной записью с любым уровнем привилегий имеет возможность при входе в enable ввести локальный пароль администратора с priv-lvl = 15 В случае недоступности такакс-сервера - действуют локальные логин и пароль Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
