Jump to content

hwtacacs !=tacacs_plus

Den4ikArgv
 Share

Recommended Posts

Den4ikArgv

Den4ikArgv

Posted
Posted

Добрый день, коллеги!

Столкнулся с проблемой ограничения прав на коммутаторах Huawei SmartAX 5600 Series:
 

Поднял сервер tacacs+ , создал группы и учетные записи.

При установке параметра priv-lvl=15 всё работает как и должно, но в сети есть целый зоопарк зверушек (BDCOM,3com,HP и пару cisco) и для технической поддержки нет необходимости входить в режим, к примеру, config.

Если установить параметр в значение 7 - Huawei понимает, что значение выше 2 (которые указаны в интерфейсе самой железки) и пускает пользователя делать всё, что он хочет.

 

Пробовал также через cmd = <имя команды > {deny .*} - не помогает.


Подскажите, кто сталкивался или может знает как побороть такую интересную баганую железку (Не баг, а фича!) хвавея?

jffulcrum

jffulcrum

Posted
Posted

У некоторых изделий Хуа есть команда command-privilege level rearrange, превращающая три уровня в традиционные 15. Проверьте, вдруг и на вашем работает. Правда, сперва советую создать запасного юзера с уровнем 15, не всегда автосдвиг срабатывал корректно.

Den4ikArgv

Den4ikArgv

Posted
  • Author
Posted

К сожалению, такой команды на девайсах SmartAX разных версий и с разными прошивками нет.

Можно как-то средствами tacacs+ устранить данную проблему?

Den4ikArgv

Den4ikArgv

Posted
  • Author
Posted

Или если зайти с другой стороны.

Можно как-то передать все полномочия с 15 уровня на 2 в bdcom?

Пробую privilege configure 2 и просит команды, но среди них нет config и соответственно я из админа превращаюсь в тыкву)

Umux

Umux

Posted
Posted

Я бы поделил все устройства на группы по типу и использовал фильтрацию по IP адресам. На каждую группу повесил бы соответствующий фильтр с правилами  permit/deny.

На устройстве Huawei должен быть обязательно включен authorization-mode.

Den4ikArgv

Den4ikArgv

Posted
  • Author
Posted

group = huawei-support {
        default service = permit
        acl = huawei_acl
        service = exec {
                priv-lvl= 1
        }
}
group = bdcom-support {
        default service = permit
        acl = bdcom_acl
        service = exec {
                priv-lvl=15
        }
}

group = support {
        default service = permit
        login = PAM
        member = [bdcom-support,huawei-support]
}

acl = huawei_acl {
        deny = .*
        permit = 192\.168\.5\.4
}
acl = bdcom_acl {
        deny = huawei_acl
        permit = .*



Попытался сделать вот так, но ругается, что нельзя указать 2 группы в членстве.
Как побороть такую картину?

Error group=support, group [bdcom-support,huawei-support] does not exist


 

Den4ikArgv

Den4ikArgv

Posted
  • Author
Posted
Цитата

Я бы поделил все устройства на группы по типу и использовал фильтрацию по IP адресам. На каждую группу повесил бы соответствующий фильтр с правилами  permit/deny.

На устройстве Huawei должен быть обязательно включен authorization-mode.

group = huawei-support {
        default service = permit
        acl = huawei_acl
        member = support
        service = exec {
                priv-lvl= 1
        }
}
group = bdcom-support {
        default service = permit
        acl = bdcom_acl
        member = support
        service = exec {
                priv-lvl=7
        }
}
group = admins {
        default service = permit
        login = PAM
        member = support
        service = exec {
                priv-lvl=15
        }
}
group = support {
        default service = permit
        login = PAM     
}

user = support {
        member = support
        login = PAM
}

acl = huawei_acl {
        permit = ^192\.168\.5\.4$
        deny = .*
}
acl = bdcom_acl {
        permit = ^192\.168\.5\.9$
        deny = huawei_acl
}




Собрал тестовый стенд, в таком виде конфигурации с Huawei всё хорошо, но при попытке зайти на bdcom дальше пользовательского меню я не проваливаюсь.

Понимаю, что после отработки ACL huawei-support дальше ничего не проходит.

Как заставить tacacs пробегать по конфигу так, чтобы права для bdcom были взяты из group bdcom-support?

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.