Всех с наступившим новым годом. Возник у меня такой вопрос: как более гибко выполнить привязку оборудования juniper к tacacs+?Сейчас, на каждом джунике у меня создано что-то вроде:
user remote-read-only {
full-name "User template for remote read-only";
uid 2014;
class read-only;
}
user remote-super-users {
full-name "User template for remote super-users";
uid 2013;
class super-user;
}Но в ситуации, когда я захочу дать кому-либо частичные права на изменение конфигурации, мне придется на всех джуниках создать класс пользователей и указать команды которые разрешены этому классу. А если я захочу их изменить? Согласитесь, это не очень удобно...
Я уверен, что средствами самого tacacs+ можно решить эту проблему, хотя я и не нашел как. Все что в открытом доступе на сайте "juniper.com", умалчивает о такой возможности. А поддержку нам так и не купили.
Возможно, кто-то занимался подобным вопросом? Прошу подсказать, как сделано у Вас.
Спасибо.
>[оверквотинг удален]
> Но в ситуации, когда я захочу дать кому-либо частичные права на изменение
> конфигурации, мне придется на всех джуниках создать класс пользователей и указать
> команды которые разрешены этому классу. А если я захочу их изменить?
> Согласитесь, это не очень удобно...
> Я уверен, что средствами самого tacacs+ можно решить эту проблему, хотя я
> и не нашел как. Все что в открытом доступе на сайте
> "juniper.com", умалчивает о такой возможности. А поддержку нам так и не
> купили.
> Возможно, кто-то занимался подобным вопросом? Прошу подсказать, как сделано у Вас.
> Спасибо.Доброго времени суток.
Сразу оговорюсь - juniper'ов у меня нет, поэтому насколько нижеследующее будет соответствовать Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+.
В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации по регулярному выражению. В других реализациях протокола это может быть не реализовано, например, поэтому важно знать, какой сервер вы используете.
Оборудование cisco работает с этим (кажется, они этот сервер и писали, а потом выложили в открытый доступ), juniper, по идее, тоже.
http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
Из того, что нагуглилось сходу.
Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно особых возникнуть.
Эм... По ссылке
Not FoundThe requested URL /techpubs/en_US/junos13.2/topics/concept/authentication-regular-expressions-usage-allow-deny-command-overview.html was not found on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
>[оверквотинг удален]
> Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+.
> В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации
> по регулярному выражению. В других реализациях протокола это может быть не
> реализовано, например, поэтому важно знать, какой сервер вы используете.
> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а
> потом выложили в открытый доступ), juniper, по идее, тоже.
> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
> Из того, что нагуглилось сходу.
> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
> особых возникнуть.
>[оверквотинг удален]
>> Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+.
>> В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации
>> по регулярному выражению. В других реализациях протокола это может быть не
>> реализовано, например, поэтому важно знать, какой сервер вы используете.
>> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а
>> потом выложили в открытый доступ), juniper, по идее, тоже.
>> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
>> Из того, что нагуглилось сходу.
>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
>> особых возникнуть.Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions on a RADIUS or TACACS+ Server to Allow or Deny Access to Commands".
Да открыл, но без указания local-user-name даже не хочет авторизовываться. А при указании оного, регулярные выражения работать не будут.>[оверквотинг удален]
>>> реализовано, например, поэтому важно знать, какой сервер вы используете.
>>> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а
>>> потом выложили в открытый доступ), juniper, по идее, тоже.
>>> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
>>> Из того, что нагуглилось сходу.
>>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
>>> особых возникнуть.
> Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions
> on a RADIUS or TACACS+ Server to Allow or Deny Access
> to Commands".
>[оверквотинг удален]
>>>> реализовано, например, поэтому важно знать, какой сервер вы используете.
>>>> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а
>>>> потом выложили в открытый доступ), juniper, по идее, тоже.
>>>> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
>>>> Из того, что нагуглилось сходу.
>>>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
>>>> особых возникнуть.
>> Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions
>> on a RADIUS or TACACS+ Server to Allow or Deny Access
>> to Commands".Значит, как-то не так настроено AAA, если приоритетом идет локальная БД пользователей, а не tacacs+.
Обычно локальные пользователи идут fallback'ом в случае недоступности tacacs+ сервера и указываются после настроек tacacs+.
Локально указывается класс пользователя и права, по другому - никак. А сами пользователи не заведены локально.>[оверквотинг удален]
>>>>> Из того, что нагуглилось сходу.
>>>>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
>>>>> особых возникнуть.
>>> Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions
>>> on a RADIUS or TACACS+ Server to Allow or Deny Access
>>> to Commands".
> Значит, как-то не так настроено AAA, если приоритетом идет локальная БД пользователей,
> а не tacacs+.
> Обычно локальные пользователи идут fallback'ом в случае недоступности tacacs+ сервера
> и указываются после настроек tacacs+.
> Локально указывается класс пользователя и права, по другому - никак. А сами
> пользователи не заведены локально.Покажите конфиг tac_plus сервера и Вашего джунипера.
http://kb.juniper.net/InfoCenter/index?page=content&id=KB17269
https://webcache.googleusercontent.com/search?q=cache:oM3akh...Из полезных на первый взгляд ссылок, если еще не читали.
В частности, раздел "Map the local user template to the TACACS+ user accounts (optional):"
Похож на то, что нужно + после него прописать регэкспы на стороне tac_plus сервера.Кстати, Вы так и не ответили, какую реализацию tacacs+ протокола Вы используете.
Спасибо, вроде разобрался.>[оверквотинг удален]
>> пользователи не заведены локально.
> Покажите конфиг tac_plus сервера и Вашего джунипера.
> http://kb.juniper.net/InfoCenter/index?page=content&id=KB17269
> https://webcache.googleusercontent.com/search?q=cache:oM3akh...
> Из полезных на первый взгляд ссылок, если еще не читали.
> В частности, раздел "Map the local user template to the TACACS+ user
> accounts (optional):"
> Похож на то, что нужно + после него прописать регэкспы на стороне
> tac_plus сервера.
> Кстати, Вы так и не ответили, какую реализацию tacacs+ протокола Вы используете.