Перейти к содержимому
Калькуляторы

QTECH QSW-2500E, RaiseCom ISCOM2110A-MA, RADIUS и права на команду show для простого пользователя

Дано:

QSW-2500E, ISCOM2110A-MA а также некоторые другие.

На всех настроена RADIUS-авторизация.

Логинится саппорт, то есть простые смертные пользователи которые не должны ничего менять, только смотреть.

 

Задача:

Дать права саппорту на команду show. Дабы смотрели маки и статусы портов. Без команды enable.

 

Кто сталкивался? Куда копать?

 

ps: задача имеет решение для пользователя заведённого локально, но требуется решение именно для радиуса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В личку пришли вопросы как делать саму авторизацию. Для заинтересованных:

 

user login radius-local

radius 192.168.111.111 auth-port 1812

radius backup 192.168.111.112 auth-port 1812

radius-key qwerty1234

enable login radius-local

wr

 

На серверах установлен радиус, прописаны ключ и пользователи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

такие вещи надо при помощи snmp и веб-интерфейсов делать, но никак не пускать саппорт на железо. Это чревато, вне зависимости от.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-нибудь вроде cisco-avpair = "shell:priv-lvl=15" не пробовали. К части китайского оборудования подходит, у части вендоров свои параметры. Уровень привилегий конечно нужно меньше делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

такие вещи надо при помощи snmp и веб-интерфейсов делать, но никак не пускать саппорт на железо. Это чревато, вне зависимости от.

 

Одно другому не мешает. Не всегда по snmp вы можете выполнить ping клиентского оборудования в vrf или что-нибудь в этом роде. Разные ситуации бывают, но в целом поддерживаю мысль о том, что нужно абстагировать оборудование в глазах техподдержки путём наворачивания web-обёрток

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

cisco-avpair = "shell:priv-lvl=15" не помогло.

 

snmp - это конечно здорово.

Если это циска, для которой каждый пук задокументирован (ну допустим не каждый, а 99,99%).

С райзкомами и кутеками встаёт вопрос - где брать MIB'ы? Если для кутеков ещё как-то можно выкрутиться (конекретно для 2500E ничего нет, но есть общий список, может быть оно даже подойдёт), то для райзкомов всё гораздо сложнее.

 

поэтому хотелось бы универсальное решение. и более простое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вопрос с MIB оказался решаем, но основной вопрос в силе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А откуда такое стремление не давать доступ техподдержке на оборудование?

Согласен, что enable давать ни к чему и передергивание портов/очистка счетчиков/очистка маков можно сделать из вебморды, но почему не дать read-only?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто-нибудь смог решить поставленную задачу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если это циска, для которой каждый пук задокументирован (ну допустим не каждый, а 99,99%).

Да уж, с QTech-ской документацией к оборудованию можно только в туалет сходить. В большинстве случаев бесполезна.

В частности, спецификация коммутатора QSW-2500e многообещающе доводит до нас об Опции 82, но в мануале о ней никаких упоминаний.

Кто-нибудь включал, кто-нибудь подскажет?

Изменено пользователем Dimic

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.