форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Изначальное сообщение		[ Отслеживать ]

"Juniper & tacacs+"	+/–
Сообщение от nixit (ok) on 02-Янв-14, 07:19
Всех с наступившим новым годом. Возник у меня такой вопрос: как более гибко выполнить привязку оборудования juniper к tacacs+? Сейчас, на каждом джунике у меня создано что-то вроде:         user remote-read-only {                     full-name "User template for remote read-only";             uid 2014;             class read-only;         }         user remote-super-users {             full-name "User template for remote super-users";             uid 2013;             class super-user;         } Но в ситуации, когда я захочу дать кому-либо частичные права на изменение конфигурации, мне придется на всех джуниках создать класс пользователей и указать команды которые разрешены этому классу. А если я захочу их изменить? Согласитесь, это не очень удобно... Я уверен, что средствами самого tacacs+ можно решить эту проблему, хотя я и не нашел как. Все что в открытом доступе на сайте "juniper.com", умалчивает о такой возможности. А поддержку нам так и не купили. Возможно, кто-то занимался подобным вопросом? Прошу подсказать, как сделано у Вас. Спасибо.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Juniper & tacacs+"	+/–
Сообщение от anonymous (??) on 03-Янв-14, 17:09
>[оверквотинг удален] > Но в ситуации, когда я захочу дать кому-либо частичные права на изменение > конфигурации, мне придется на всех джуниках создать класс пользователей и указать > команды которые разрешены этому классу. А если я захочу их изменить? > Согласитесь, это не очень удобно... > Я уверен, что средствами самого tacacs+ можно решить эту проблему, хотя я > и не нашел как. Все что в открытом доступе на сайте > "juniper.com", умалчивает о такой возможности. А поддержку нам так и не > купили. > Возможно, кто-то занимался подобным вопросом? Прошу подсказать, как сделано у Вас. > Спасибо. Доброго времени суток. Сразу оговорюсь - juniper'ов у меня нет, поэтому насколько нижеследующее будет соответствовать Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+. В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации по регулярному выражению. В других реализациях протокола это может быть не реализовано, например, поэтому важно знать, какой сервер вы используете. Оборудование cisco работает с этим (кажется, они этот сервер и писали, а потом выложили в открытый доступ), juniper, по идее, тоже. http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce... Из того, что нагуглилось сходу. Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно особых возникнуть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Juniper & tacacs+"	+/–
	Сообщение от nixit (ok) on 04-Янв-14, 16:00
	Эм... По ссылке Not Found The requested URL /techpubs/en_US/junos13.2/topics/concept/authentication-regular-expressions-usage-allow-deny-command-overview.html was not found on this server. Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request. >[оверквотинг удален] > Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+. > В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации > по регулярному выражению. В других реализациях протокола это может быть не > реализовано, например, поэтому важно знать, какой сервер вы используете. > Оборудование cisco работает с этим (кажется, они этот сервер и писали, а > потом выложили в открытый доступ), juniper, по идее, тоже. > http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce... > Из того, что нагуглилось сходу. > Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно > особых возникнуть.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Juniper & tacacs+"	+/–
	Сообщение от anonymous (??) on 05-Янв-14, 12:25
	>[оверквотинг удален] >> Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+. >> В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации >> по регулярному выражению. В других реализациях протокола это может быть не >> реализовано, например, поэтому важно знать, какой сервер вы используете. >> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а >> потом выложили в открытый доступ), juniper, по идее, тоже. >> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce... >> Из того, что нагуглилось сходу. >> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно >> особых возникнуть. Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions on a RADIUS or TACACS+ Server to Allow or Deny Access to Commands".
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Juniper & tacacs+"	+/–
	Сообщение от nixit (ok) on 05-Янв-14, 13:42
	Да открыл, но без указания local-user-name даже не хочет авторизовываться. А при указании оного, регулярные выражения работать не будут. >[оверквотинг удален] >>> реализовано, например, поэтому важно знать, какой сервер вы используете. >>> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а >>> потом выложили в открытый доступ), juniper, по идее, тоже. >>> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce... >>> Из того, что нагуглилось сходу. >>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно >>> особых возникнуть. > Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions > on a RADIUS or TACACS+ Server to Allow or Deny Access > to Commands".
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Juniper & tacacs+"	+/–
	Сообщение от anonymous (??) on 05-Янв-14, 14:25
	>[оверквотинг удален] >>>> реализовано, например, поэтому важно знать, какой сервер вы используете. >>>> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а >>>> потом выложили в открытый доступ), juniper, по идее, тоже. >>>> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce... >>>> Из того, что нагуглилось сходу. >>>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно >>>> особых возникнуть. >> Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions >> on a RADIUS or TACACS+ Server to Allow or Deny Access >> to Commands". Значит, как-то не так настроено AAA, если приоритетом идет локальная БД пользователей, а не tacacs+. Обычно локальные пользователи идут fallback'ом в случае недоступности tacacs+ сервера и указываются после настроек tacacs+.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Juniper & tacacs+"	+/–
	Сообщение от nixit (ok) on 05-Янв-14, 15:37
	Локально указывается класс пользователя и права, по другому - никак. А сами пользователи не заведены локально. >[оверквотинг удален] >>>>> Из того, что нагуглилось сходу. >>>>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно >>>>> особых возникнуть. >>> Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions >>> on a RADIUS or TACACS+ Server to Allow or Deny Access >>> to Commands". > Значит, как-то не так настроено AAA, если приоритетом идет локальная БД пользователей, > а не tacacs+. > Обычно локальные пользователи идут fallback'ом в случае недоступности tacacs+ сервера > и указываются после настроек tacacs+.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Juniper & tacacs+"	+/–
	Сообщение от anonymous (??) on 06-Янв-14, 00:15
	> Локально указывается класс пользователя и права, по другому - никак. А сами > пользователи не заведены локально. Покажите конфиг tac_plus сервера и Вашего джунипера. http://kb.juniper.net/InfoCenter/index?page=content&id=KB17269 https://webcache.googleusercontent.com/search?q=cache:oM3akh... Из полезных на первый взгляд ссылок, если еще не читали. В частности, раздел "Map the local user template to the TACACS+ user accounts (optional):" Похож на то, что нужно + после него прописать регэкспы на стороне tac_plus сервера. Кстати, Вы так и не ответили, какую реализацию tacacs+ протокола Вы используете.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Juniper & tacacs+"	+/–
	Сообщение от nixit (ok) on 06-Янв-14, 05:47
	Спасибо, вроде разобрался. >[оверквотинг удален] >> пользователи не заведены локально. > Покажите конфиг tac_plus сервера и Вашего джунипера. > http://kb.juniper.net/InfoCenter/index?page=content&id=KB17269 > https://webcache.googleusercontent.com/search?q=cache:oM3akh... > Из полезных на первый взгляд ссылок, если еще не читали. > В частности, раздел "Map the local user template to the TACACS+ user > accounts (optional):" > Похож на то, что нужно + после него прописать регэкспы на стороне > tac_plus сервера. > Кстати, Вы так и не ответили, какую реализацию tacacs+ протокола Вы используете.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема