Jump to content

QTECH QSW-2500E, RaiseCom ISCOM2110A-MA, RADIUS и права на команду show для простого пользователя

denis_c64
 Share

Recommended Posts

denis_c64

denis_c64

Posted
Posted

Дано:

QSW-2500E, ISCOM2110A-MA а также некоторые другие.

На всех настроена RADIUS-авторизация.

Логинится саппорт, то есть простые смертные пользователи которые не должны ничего менять, только смотреть.

 

Задача:

Дать права саппорту на команду show. Дабы смотрели маки и статусы портов. Без команды enable.

 

Кто сталкивался? Куда копать?

 

ps: задача имеет решение для пользователя заведённого локально, но требуется решение именно для радиуса.

denis_c64

denis_c64

Posted
  • Author
Posted

В личку пришли вопросы как делать саму авторизацию. Для заинтересованных:

 

user login radius-local

radius 192.168.111.111 auth-port 1812

radius backup 192.168.111.112 auth-port 1812

radius-key qwerty1234

enable login radius-local

wr

 

На серверах установлен радиус, прописаны ключ и пользователи.

eill

eill

Posted
Posted

такие вещи надо при помощи snmp и веб-интерфейсов делать, но никак не пускать саппорт на железо. Это чревато, вне зависимости от.

Mic

Mic

Posted
Posted

Что-нибудь вроде cisco-avpair = "shell:priv-lvl=15" не пробовали. К части китайского оборудования подходит, у части вендоров свои параметры. Уровень привилегий конечно нужно меньше делать.

s.lobanov

s.lobanov

Posted
Posted

такие вещи надо при помощи snmp и веб-интерфейсов делать, но никак не пускать саппорт на железо. Это чревато, вне зависимости от.

 

Одно другому не мешает. Не всегда по snmp вы можете выполнить ping клиентского оборудования в vrf или что-нибудь в этом роде. Разные ситуации бывают, но в целом поддерживаю мысль о том, что нужно абстагировать оборудование в глазах техподдержки путём наворачивания web-обёрток

denis_c64

denis_c64

Posted
  • Author
Posted

cisco-avpair = "shell:priv-lvl=15" не помогло.

 

snmp - это конечно здорово.

Если это циска, для которой каждый пук задокументирован (ну допустим не каждый, а 99,99%).

С райзкомами и кутеками встаёт вопрос - где брать MIB'ы? Если для кутеков ещё как-то можно выкрутиться (конекретно для 2500E ничего нет, но есть общий список, может быть оно даже подойдёт), то для райзкомов всё гораздо сложнее.

 

поэтому хотелось бы универсальное решение. и более простое.

DelSt

DelSt

Posted
Posted

А откуда такое стремление не давать доступ техподдержке на оборудование?

Согласен, что enable давать ни к чему и передергивание портов/очистка счетчиков/очистка маков можно сделать из вебморды, но почему не дать read-only?

  • 7 months later...
  • 1 month later...
Dimic

Dimic

Posted
Posted (edited)

Если это циска, для которой каждый пук задокументирован (ну допустим не каждый, а 99,99%).

Да уж, с QTech-ской документацией к оборудованию можно только в туалет сходить. В большинстве случаев бесполезна.

В частности, спецификация коммутатора QSW-2500e многообещающе доводит до нас об Опции 82, но в мануале о ней никаких упоминаний.

Кто-нибудь включал, кто-нибудь подскажет?

Edited by Dimic

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.