[Den4ikArgv]

Добрый день, коллеги!

Столкнулся с проблемой ограничения прав на коммутаторах Huawei SmartAX 5600 Series:
 

Поднял сервер tacacs+ , создал группы и учетные записи.

При установке параметра priv-lvl=15 всё работает как и должно, но в сети есть целый зоопарк зверушек (BDCOM,3com,HP и пару cisco) и для технической поддержки нет необходимости входить в режим, к примеру, config.

Если установить параметр в значение 7 - Huawei понимает, что значение выше 2 (которые указаны в интерфейсе самой железки) и пускает пользователя делать всё, что он хочет.

 

Пробовал также через cmd = <имя команды > {deny .*} - не помогает.

Подскажите, кто сталкивался или может знает как побороть такую интересную баганую железку (Не баг, а фича!) хвавея?

[jffulcrum]

У некоторых изделий Хуа есть команда command-privilege level rearrange, превращающая три уровня в традиционные 15. Проверьте, вдруг и на вашем работает. Правда, сперва советую создать запасного юзера с уровнем 15, не всегда автосдвиг срабатывал корректно.

[Den4ikArgv]

К сожалению, такой команды на девайсах SmartAX разных версий и с разными прошивками нет.

Можно как-то средствами tacacs+ устранить данную проблему?

[Den4ikArgv]

Или если зайти с другой стороны.

Можно как-то передать все полномочия с 15 уровня на 2 в bdcom?

Пробую privilege configure 2 и просит команды, но среди них нет config и соответственно я из админа превращаюсь в тыкву)

[Umux]

Я бы поделил все устройства на группы по типу и использовал фильтрацию по IP адресам. На каждую группу повесил бы соответствующий фильтр с правилами  permit/deny.

На устройстве Huawei должен быть обязательно включен authorization-mode.

[Den4ikArgv]

Umux, не могли бы вы подробнее рассказать о том, как это можно реализовать?

Есть ли какой-либо мануал по данной теме?

[Den4ikArgv]

group = huawei-support {
        default service = permit
        acl = huawei_acl
        service = exec {
                priv-lvl= 1
        }
}
group = bdcom-support {
        default service = permit
        acl = bdcom_acl
        service = exec {
                priv-lvl=15
        }
}

group = support {
        default service = permit
        login = PAM
        member = [bdcom-support,huawei-support]
}

acl = huawei_acl {
        deny = .*
        permit = 192\.168\.5\.4
}
acl = bdcom_acl {
        deny = huawei_acl
        permit = .*

Попытался сделать вот так, но ругается, что нельзя указать 2 группы в членстве.
Как побороть такую картину?

Error group=support, group [bdcom-support,huawei-support] does not exist

 

[Den4ikArgv]

Цитата

Я бы поделил все устройства на группы по типу и использовал фильтрацию по IP адресам. На каждую группу повесил бы соответствующий фильтр с правилами  permit/deny.

На устройстве Huawei должен быть обязательно включен authorization-mode.

group = huawei-support {
        default service = permit
        acl = huawei_acl
        member = support
        service = exec {
                priv-lvl= 1
        }
}
group = bdcom-support {
        default service = permit
        acl = bdcom_acl
        member = support
        service = exec {
                priv-lvl=7
        }
}
group = admins {
        default service = permit
        login = PAM
        member = support
        service = exec {
                priv-lvl=15
        }
}
group = support {
        default service = permit
        login = PAM     
}

user = support {
        member = support
        login = PAM
}

acl = huawei_acl {
        permit = ^192\.168\.5\.4$
        deny = .*
}
acl = bdcom_acl {
        permit = ^192\.168\.5\.9$
        deny = huawei_acl
}

Собрал тестовый стенд, в таком виде конфигурации с Huawei всё хорошо, но при попытке зайти на bdcom дальше пользовательского меню я не проваливаюсь.

Понимаю, что после отработки ACL huawei-support дальше ничего не проходит.

Как заставить tacacs пробегать по конфигу так, чтобы права для bdcom были взяты из group bdcom-support?