Задача:
Настроить аутентификацию и авторизацию на маршрутизаторе через tacacs+ в ACS, в случае недоступности ACS проверять локальную базу.
Требуются 2 группы пользователей:
Администраторы - можно все
Суппорт - из настроек разрешено только устанавливать на интерфейсах FastEthernet desciption(для примера). И смотреть show run
Решение:
1. Настраиваем aaa
username LocalAdmin privilege 15 secret 5 $1$u.xp$loUJZzvmL.DxizY42.rar/
username LocalSupport privilege 5 secret 5 $1$mO1t$lW35TV2S5W7vkeq8qJ9YU1
aaa authentication login default group tacacs+ local
aaa authorization console
aaa authorization config-commands
aaa authorization exec default group tacacs+ local
aaa authorization commands 5 default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
ip tacacs source-interface FastEthernet0/0
tacacs-server host 172.16.13.2
tacacs-server key cisco
Если забыть сначала создать пользователей локальной базы данных, то после начала настройки авторизации придется перегружать по питанию железку.
Так как будет ругаться, на то что вы не авторизованы.
2. Раскидываем по уровням привелегий команды:
В данном случае переносим часть команд на 5 уровень
privilege interface level 5 ip
privilege interface level 5 description
privilege configure level 5 line
privilege configure level 5 interface
privilege exec level 5 ping
privilege exec level 5 configure terminal
privilege exec level 5 configure
privilege exec level 5 show running-config
privilege exec level 5 show
3. На acs
a. Shared Profile-Components->Shell Command Authorization Sets->Add
б. Создадим набор команд для админов:
Name, Descrion заполняем как хотим, ставим галку на против Unmatched Commands: Permit. Этим мы разрешаем "выполнять" все команды
в. Набор команд для суппорта
Name, Description заполняем как хотим,
Выбираем Unmatched Commands: Deny
Добавляем разрешенные команды:
show permit run
configure permit terminal
interface permit FastEthernet
description (ставим галку Permit Unmatched Args)
г. Настраиваем группу админов:
Ставим галку Shell(exec)
Privilege level 15
Выбираем набор команд из пункта 3б в Shell Command Authorization Set-> Assign a Shell Command Authorization Set for any network device
д. Настраиваем группу супорта:
Ставим галку Shell(exec)
Privilege level 5
Выбираем набор команд из пункта 3в в Shell Command Authorization Set-> Assign a Shell Command Authorization Set for any network device
Замечания:
Если требуется делать авторизацию команд на определенных уровнях( в данном случае возьмем 5 уровень). То даже если мы запретим в acs выполнять команду например show ip route. Она все равно будет бользователям с 5 уровня доступна, так как она находится на 1 уровне. Для того что бы запретить ее, надо команду перенести на 5 уровень. Аналогично если хотим разрешить выполнять команду с высшего уровня(например show run с 15 уровня) То требуется перенести show run на 5 уровень и в acs разрешить выполнение этой команды.
пятница, 23 января 2009 г.
воскресенье, 11 января 2009 г.
Using Test TCP (TTCP) to Test Throughput
Что бы не затерялась полезная ссылка
http://www.cisco.com/en/US/tech/tk801/tk36/technologies_tech_note09186a0080094694.shtml
http://www.cisco.com/en/US/tech/tk801/tk36/technologies_tech_note09186a0080094694.shtml
Подписаться на:
Сообщения (Atom)