bda Posted August 12, 2008 Posted August 12, 2008 Коллеги, собственно subj. Посоветуйте пожалуйста. PS Видел в одной конторе следующую картину: на всех цисках настроен как радиус так и такакс. Но не успел уточнить, заем так сделано и детали. Никто с таким не встречался вариантом? Не подскажете? Может линки какие есть? Вставить ник Quote
bda Posted August 14, 2008 Author Posted August 14, 2008 Коллеги, просьба подсказать... Вопрос очень интересует. Вставить ник Quote
orlik Posted August 14, 2008 Posted August 14, 2008 Коллеги, собственно subj. Посоветуйте пожалуйста. PS Видел в одной конторе следующую картину: на всех цисках настроен как радиус так и такакс. Но не успел уточнить, заем так сделано и детали. Никто с таким не встречался вариантом? Не подскажете? Может линки какие есть? Что-то у вас топик с темой не вяжется Вставить ник Quote
ilgizk Posted August 14, 2008 Posted August 14, 2008 Коллеги, просьба подсказать... Вопрос очень интересует. А зачем одновременно radius и tacacs? Какая в этом необходимость? Если нужен просто стабильный и функциональный сервер авторизации, то надо брать FreeRADIUS. А про такакс вообще забыть ) Вставить ник Quote
bda Posted August 14, 2008 Author Posted August 14, 2008 Коллеги, просьба подсказать... Вопрос очень интересует. А зачем одновременно radius и tacacs? Какая в этом необходимость? Если нужен просто стабильный и функциональный сервер авторизации, то надо брать FreeRADIUS. А про такакс вообще забыть ) А если есть необходимость логировать введенные комманды в шелле и разграничение на ввод определенных комманд? Как тут быть в случае с freeradius? Вставить ник Quote
Kaban Posted August 14, 2008 Posted August 14, 2008 (edited) в радиусе аутентификация и авторизация совмещенные процедуры, поэтому отдельно авторизацию комманд на радиусе реализовать нельзя. Edited August 14, 2008 by Kaban Вставить ник Quote
Bushi Posted August 14, 2008 Posted August 14, 2008 Там скорее всего Radius был настроен на циске для AAA коммутируемых соединений, а Tacacs для авторизации и аккаунтинга login, commands. Под unix like лучше использовать пакет tac_plus. Вставить ник Quote
bda Posted August 14, 2008 Author Posted August 14, 2008 Там скорее всего Radius был настроен на циске для AAA коммутируемых соединений, а Tacacs для авторизации и аккаунтинга login, commands. Под unix like лучше использовать пакет tac_plus. Так-плюсов существует некоторое кол-во. Подскажите какой самый актуальный и богатый фичами? Вставить ник Quote
Bushi Posted August 14, 2008 Posted August 14, 2008 (edited) ftp://ftp.shrubbery.net/pub/tac_plus/ В FreeBSD ports/net/tac_plus4 Edited August 14, 2008 by Bushi Вставить ник Quote
bda Posted August 14, 2008 Author Posted August 14, 2008 ftp://ftp.shrubbery.net/pub/tac_plus/В FreeBSD ports/net/tac_plus4 А почему именно этот такакс? Ведь существует масса других? Этот по-моему уже очень давно не обновлялся... Вставить ник Quote
Bushi Posted August 14, 2008 Posted August 14, 2008 Видимо потому что его функционала достаточно. Честно говоря, другие не смотрел - этот вполне устраивает. Вставить ник Quote
bda Posted August 14, 2008 Author Posted August 14, 2008 А этот такакс пароли в открытом виде хранит в своем конфиге? Ктстаи, как он хранит enable-пароль? Вставить ник Quote
Bushi Posted August 14, 2008 Posted August 14, 2008 Пароли он может брать из сиквельной базы данных, может брать системные. Вставить ник Quote
bda Posted August 14, 2008 Author Posted August 14, 2008 Мне показывали некий tacplus, который умел в конфиге хранить пароли в виде хеша, причем и enable - тоже. Этот так умеет? Вставить ник Quote
bda Posted August 14, 2008 Author Posted August 14, 2008 Спасибо! буду пробовать ! Вставить ник Quote
ilgizk Posted August 15, 2008 Posted August 15, 2008 А зачем одновременно radius и tacacs? Какая в этом необходимость? А если есть необходимость логировать введенные комманды в шелле и разграничение на ввод определенных комманд? Как тут быть в случае с freeradius? В Cisco для логгирования введенных в CLI команд есть команда archive (введенные команды пишутся в logging), для ограничения набора команд можно использовать view. В этих случаях RADIUS не при чем. Вставить ник Quote
tgz Posted August 15, 2008 Posted August 15, 2008 В Cisco для логгирования введенных в CLI команд есть команда archive (введенные команды пишутся в logging), для ограничения набора команд можно использовать view. В этих случаях RADIUS не при чем. view по сравнению с tacacs - убогий костыль. Вставить ник Quote
bda Posted August 17, 2008 Author Posted August 17, 2008 А зачем одновременно radius и tacacs? Какая в этом необходимость? А если есть необходимость логировать введенные комманды в шелле и разграничение на ввод определенных комманд? Как тут быть в случае с freeradius? В Cisco для логгирования введенных в CLI команд есть команда archive (введенные команды пишутся в logging), для ограничения набора команд можно использовать view. В этих случаях RADIUS не при чем. Тагда подскажите, в чем преимуущество радиуса? Стою перед глобальной задачей. Очень много рутеров и свичей... Внедрить такакс и потом все переделывать на радиус - не очень прикольно. Я понимаю, когда 2-3, ну 10 аппаратов, но когда несколько сотен. Поэтому просьба помочь... Вставить ник Quote
ram_scan Posted August 18, 2008 Posted August 18, 2008 Такакс скажем так, уже историческая вещь, которую на тебе народ тащит чисто заради обратной совместимости. Цыско его еще в 90-лохматых годах открыла. Мое имхо - на него морочиться заранее уже смысла никакого. Все что можно было раньше сделать через такакс можно сделать нынче через радиус. И даже более чем. Учитывая то что девайсов с поддержкой радиуса заметно больше чем с поддержкой такакса выбор очевиден. Единственный вариант - это когда на сети стоит куча девайсов которые акромя такакса нихрена не держат, и заменить их нельзя. Вставить ник Quote
visir Posted August 18, 2008 Posted August 18, 2008 Такакс скажем так, уже историческая вещь, которую на тебе народ тащит чисто заради обратной совместимости. Цыско его еще в 90-лохматых годах открыла. Мое имхо - на него морочиться заранее уже смысла никакого. Все что можно было раньше сделать через такакс можно сделать нынче через радиус. И даже более чем. Учитывая то что девайсов с поддержкой радиуса заметно больше чем с поддержкой такакса выбор очевиден. Единственный вариант - это когда на сети стоит куча девайсов которые акромя такакса нихрена не держат, и заменить их нельзя. Вот только авторизацию на выполнение каждой комманды можно сделать только через такакс... Вставить ник Quote
bda Posted August 18, 2008 Author Posted August 18, 2008 Такакс скажем так, уже историческая вещь, которую на тебе народ тащит чисто заради обратной совместимости. Цыско его еще в 90-лохматых годах открыла. Мое имхо - на него морочиться заранее уже смысла никакого. Все что можно было раньше сделать через такакс можно сделать нынче через радиус. И даже более чем. Учитывая то что девайсов с поддержкой радиуса заметно больше чем с поддержкой такакса выбор очевиден. Единственный вариант - это когда на сети стоит куча девайсов которые акромя такакса нихрена не держат, и заменить их нельзя.Вот только авторизацию на выполнение каждой команды можно сделать только через такакс... Вот-вот, да в общем, интересен соответствующий функционал. Конечно, не относительно одной как-то команды, но авторизация на группу комманд - очень необходима. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.