denis_c64 Опубликовано 9 августа, 2011 · Жалоба Дано: QSW-2500E, ISCOM2110A-MA а также некоторые другие. На всех настроена RADIUS-авторизация. Логинится саппорт, то есть простые смертные пользователи которые не должны ничего менять, только смотреть. Задача: Дать права саппорту на команду show. Дабы смотрели маки и статусы портов. Без команды enable. Кто сталкивался? Куда копать? ps: задача имеет решение для пользователя заведённого локально, но требуется решение именно для радиуса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_c64 Опубликовано 9 августа, 2011 · Жалоба В личку пришли вопросы как делать саму авторизацию. Для заинтересованных: user login radius-local radius 192.168.111.111 auth-port 1812 radius backup 192.168.111.112 auth-port 1812 radius-key qwerty1234 enable login radius-local wr На серверах установлен радиус, прописаны ключ и пользователи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eill Опубликовано 9 августа, 2011 · Жалоба такие вещи надо при помощи snmp и веб-интерфейсов делать, но никак не пускать саппорт на железо. Это чревато, вне зависимости от. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mic Опубликовано 9 августа, 2011 · Жалоба Что-нибудь вроде cisco-avpair = "shell:priv-lvl=15" не пробовали. К части китайского оборудования подходит, у части вендоров свои параметры. Уровень привилегий конечно нужно меньше делать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 9 августа, 2011 · Жалоба такие вещи надо при помощи snmp и веб-интерфейсов делать, но никак не пускать саппорт на железо. Это чревато, вне зависимости от. Одно другому не мешает. Не всегда по snmp вы можете выполнить ping клиентского оборудования в vrf или что-нибудь в этом роде. Разные ситуации бывают, но в целом поддерживаю мысль о том, что нужно абстагировать оборудование в глазах техподдержки путём наворачивания web-обёрток Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_c64 Опубликовано 10 августа, 2011 · Жалоба cisco-avpair = "shell:priv-lvl=15" не помогло. snmp - это конечно здорово. Если это циска, для которой каждый пук задокументирован (ну допустим не каждый, а 99,99%). С райзкомами и кутеками встаёт вопрос - где брать MIB'ы? Если для кутеков ещё как-то можно выкрутиться (конекретно для 2500E ничего нет, но есть общий список, может быть оно даже подойдёт), то для райзкомов всё гораздо сложнее. поэтому хотелось бы универсальное решение. и более простое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_c64 Опубликовано 10 августа, 2011 · Жалоба вопрос с MIB оказался решаем, но основной вопрос в силе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DelSt Опубликовано 10 августа, 2011 · Жалоба А откуда такое стремление не давать доступ техподдержке на оборудование? Согласен, что enable давать ни к чему и передергивание портов/очистка счетчиков/очистка маков можно сделать из вебморды, но почему не дать read-only? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user2006 Опубликовано 13 марта, 2012 · Жалоба Кто-нибудь смог решить поставленную задачу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dimic Опубликовано 22 апреля, 2012 (изменено) · Жалоба Если это циска, для которой каждый пук задокументирован (ну допустим не каждый, а 99,99%). Да уж, с QTech-ской документацией к оборудованию можно только в туалет сходить. В большинстве случаев бесполезна. В частности, спецификация коммутатора QSW-2500e многообещающе доводит до нас об Опции 82, но в мануале о ней никаких упоминаний. Кто-нибудь включал, кто-нибудь подскажет? Изменено 22 апреля, 2012 пользователем Dimic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...