sol Posted February 13, 2019 Posted February 13, 2019 Есть сеть, развёрнут TACACS, всё работает, все рады. Пришла железка, ни в какую не работающая с TACACS, зато прекрасно умеющая RADIUS. Разворачивать ради неё одной RADIUS не вариант. Есть какой транслятор/прокси из TACACS в ненавистный RADIUS ? Беглое гугление результата не дало. Вставить ник Quote
alibek Posted February 13, 2019 Posted February 13, 2019 А такой разве в принципе бывает? И у самих протоколов возможности разные, и на железках обычно возможности/реализация отличаются. Вставить ник Quote
sol Posted February 13, 2019 Author Posted February 13, 2019 Бывает. Есть обратный вариант в виде патча для TAC+. Он начинает брать логин с паролем не из своих конфиг-файлов а из внешнего радиуса. А мне надо наоборот. http://portal-to-web.de/tacacs/ Там сеть 800+ девайсов. Переводить на RADIUS не вариант. Вставить ник Quote
s.lobanov Posted February 13, 2019 Posted February 13, 2019 Можно сделать. берёте freeradius, курите unlang и при получении радиус-запросов выполняете внешний скрипт авторизации через tacacs, парсите вывод и генерите ответ Ну т.е. всё равно взаимодействие будет по протоколу radius Вставить ник Quote
FATHER_FBI Posted February 13, 2019 Posted February 13, 2019 Ну вообще по хорошему в сети должно быть оба ААА сервера. Потому что микротик умеет только с radius работать, cisco в VRF умеет только Tacacs. У меня прекрасно живут tac/radius на одном сервере и никогда проблем не было. Вставить ник Quote
Ivan_83 Posted February 13, 2019 Posted February 13, 2019 8 часов назад, s.lobanov сказал: берёте freeradius, курите unlang анлегн - здоровым людям лучше обходить стороной, там же можно на перле куски кода вызывать, это сильно проще и наверняка есть какие то готовые такакс модули для него. Вставить ник Quote
s.lobanov Posted February 14, 2019 Posted February 14, 2019 11 часов назад, Ivan_83 сказал: анлегн - здоровым людям лучше обходить стороной, там же можно на перле куски кода вызывать, это сильно проще и наверняка есть какие то готовые такакс модули для него. сам по себе анленг норм, его проблема это отсутствие нормальной документации, howto/примеров Вставить ник Quote
Ivan_83 Posted February 14, 2019 Posted February 14, 2019 4 часа назад, s.lobanov сказал: сам по себе анленг норм, его проблема это отсутствие нормальной документации, howto/примеров Он очень малофункциональный как для языка, там можно сделать минимум примитивных операций, уровня присвоить константу, скопировать переменную и условия, ну и регэкспы, насколько помню. Кажется даже конфиг nginx даёт несколько больше возможностей, а уж всякие lua и подавно. Думаю что и конфиг нгинха, и родной астериска и вот анленг - это пережитки прошлого, когда луа не было и каждый городил свою фигню. Вставить ник Quote
TheUser Posted February 15, 2019 Posted February 15, 2019 Когда-то делал схему с обоими. Пользователи были в LDAP. RADIUS и TACACS+ ходили к нему. Вставить ник Quote
zdutpdzi Posted February 20, 2019 Posted February 20, 2019 On 2/13/2019 at 1:26 PM, s.lobanov said: Можно сделать. берёте freeradius, курите unlang и при получении радиус-запросов выполняете внешний скрипт авторизации через tacacs, парсите вывод и генерите ответ Ну т.е. всё равно взаимодействие будет по протоколу radius Там еще rlm_python был. Вставить ник Quote
sol Posted February 20, 2019 Author Posted February 20, 2019 Всё обошлось этим: https://metacpan.org/pod/Net::TacacsPlus::Client https://metacpan.org/pod/Net::Radius::Server Вставить ник Quote
ichthyandr Posted February 21, 2019 Posted February 21, 2019 В 14.02.2019 в 12:26, s.lobanov сказал: сам по себе анленг норм, его проблема это отсутствие нормальной документации, howto/примеров это проблема всего проекта freeradius Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.