Перейти к содержимому
Калькуляторы

QTECH QSW-2500E, RaiseCom ISCOM2110A-MA, RADIUS и права на команду show для простого пользователя

Дано:

QSW-2500E, ISCOM2110A-MA а также некоторые другие.

На всех настроена RADIUS-авторизация.

Логинится саппорт, то есть простые смертные пользователи которые не должны ничего менять, только смотреть.

 

Задача:

Дать права саппорту на команду show. Дабы смотрели маки и статусы портов. Без команды enable.

 

Кто сталкивался? Куда копать?

 

ps: задача имеет решение для пользователя заведённого локально, но требуется решение именно для радиуса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В личку пришли вопросы как делать саму авторизацию. Для заинтересованных:

 

user login radius-local

radius 192.168.111.111 auth-port 1812

radius backup 192.168.111.112 auth-port 1812

radius-key qwerty1234

enable login radius-local

wr

 

На серверах установлен радиус, прописаны ключ и пользователи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

такие вещи надо при помощи snmp и веб-интерфейсов делать, но никак не пускать саппорт на железо. Это чревато, вне зависимости от.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-нибудь вроде cisco-avpair = "shell:priv-lvl=15" не пробовали. К части китайского оборудования подходит, у части вендоров свои параметры. Уровень привилегий конечно нужно меньше делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

такие вещи надо при помощи snmp и веб-интерфейсов делать, но никак не пускать саппорт на железо. Это чревато, вне зависимости от.

 

Одно другому не мешает. Не всегда по snmp вы можете выполнить ping клиентского оборудования в vrf или что-нибудь в этом роде. Разные ситуации бывают, но в целом поддерживаю мысль о том, что нужно абстагировать оборудование в глазах техподдержки путём наворачивания web-обёрток

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

cisco-avpair = "shell:priv-lvl=15" не помогло.

 

snmp - это конечно здорово.

Если это циска, для которой каждый пук задокументирован (ну допустим не каждый, а 99,99%).

С райзкомами и кутеками встаёт вопрос - где брать MIB'ы? Если для кутеков ещё как-то можно выкрутиться (конекретно для 2500E ничего нет, но есть общий список, может быть оно даже подойдёт), то для райзкомов всё гораздо сложнее.

 

поэтому хотелось бы универсальное решение. и более простое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А откуда такое стремление не давать доступ техподдержке на оборудование?

Согласен, что enable давать ни к чему и передергивание портов/очистка счетчиков/очистка маков можно сделать из вебморды, но почему не дать read-only?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто-нибудь смог решить поставленную задачу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если это циска, для которой каждый пук задокументирован (ну допустим не каждый, а 99,99%).

Да уж, с QTech-ской документацией к оборудованию можно только в туалет сходить. В большинстве случаев бесполезна.

В частности, спецификация коммутатора QSW-2500e многообещающе доводит до нас об Опции 82, но в мануале о ней никаких упоминаний.

Кто-нибудь включал, кто-нибудь подскажет?

Изменено пользователем Dimic

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас