Jump to content
Калькуляторы

QTECH QSW-2500E, RaiseCom ISCOM2110A-MA, RADIUS и права на команду show для простого пользователя

Дано:

QSW-2500E, ISCOM2110A-MA а также некоторые другие.

На всех настроена RADIUS-авторизация.

Логинится саппорт, то есть простые смертные пользователи которые не должны ничего менять, только смотреть.

 

Задача:

Дать права саппорту на команду show. Дабы смотрели маки и статусы портов. Без команды enable.

 

Кто сталкивался? Куда копать?

 

ps: задача имеет решение для пользователя заведённого локально, но требуется решение именно для радиуса.

Share this post


Link to post
Share on other sites

В личку пришли вопросы как делать саму авторизацию. Для заинтересованных:

 

user login radius-local

radius 192.168.111.111 auth-port 1812

radius backup 192.168.111.112 auth-port 1812

radius-key qwerty1234

enable login radius-local

wr

 

На серверах установлен радиус, прописаны ключ и пользователи.

Share this post


Link to post
Share on other sites

такие вещи надо при помощи snmp и веб-интерфейсов делать, но никак не пускать саппорт на железо. Это чревато, вне зависимости от.

Share this post


Link to post
Share on other sites

Что-нибудь вроде cisco-avpair = "shell:priv-lvl=15" не пробовали. К части китайского оборудования подходит, у части вендоров свои параметры. Уровень привилегий конечно нужно меньше делать.

Share this post


Link to post
Share on other sites

такие вещи надо при помощи snmp и веб-интерфейсов делать, но никак не пускать саппорт на железо. Это чревато, вне зависимости от.

 

Одно другому не мешает. Не всегда по snmp вы можете выполнить ping клиентского оборудования в vrf или что-нибудь в этом роде. Разные ситуации бывают, но в целом поддерживаю мысль о том, что нужно абстагировать оборудование в глазах техподдержки путём наворачивания web-обёрток

Share this post


Link to post
Share on other sites

cisco-avpair = "shell:priv-lvl=15" не помогло.

 

snmp - это конечно здорово.

Если это циска, для которой каждый пук задокументирован (ну допустим не каждый, а 99,99%).

С райзкомами и кутеками встаёт вопрос - где брать MIB'ы? Если для кутеков ещё как-то можно выкрутиться (конекретно для 2500E ничего нет, но есть общий список, может быть оно даже подойдёт), то для райзкомов всё гораздо сложнее.

 

поэтому хотелось бы универсальное решение. и более простое.

Share this post


Link to post
Share on other sites

вопрос с MIB оказался решаем, но основной вопрос в силе.

Share this post


Link to post
Share on other sites

А откуда такое стремление не давать доступ техподдержке на оборудование?

Согласен, что enable давать ни к чему и передергивание портов/очистка счетчиков/очистка маков можно сделать из вебморды, но почему не дать read-only?

Share this post


Link to post
Share on other sites

Кто-нибудь смог решить поставленную задачу?

Share this post


Link to post
Share on other sites

Если это циска, для которой каждый пук задокументирован (ну допустим не каждый, а 99,99%).

Да уж, с QTech-ской документацией к оборудованию можно только в туалет сходить. В большинстве случаев бесполезна.

В частности, спецификация коммутатора QSW-2500e многообещающе доводит до нас об Опции 82, но в мануале о ней никаких упоминаний.

Кто-нибудь включал, кто-нибудь подскажет?

Edited by Dimic

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this