юзаю цыску 35хх и фрирадиус, скомпиленный на freeBSD.
чо я хачу - хочу авторизировать доступ к цыске по радиусу.
радиус юзает системную базу пользователей самой фряхи. все вроде работает но...
как мне разгарничить привилегии? файлик users не канает. админов очень много и постоянно кого-то прописывать/изменять нет ни времени.

1. разделить доступ по привилегиям
2. на некоторые цыски запретить доступ вообще энным аккаунтам.

фрирадиус использую без мускуля.

• cisco+freeradius,LILO, 12:21 , 14-Сен-07
  • cisco+freeradius,mailrib, 12:27 , 14-Сен-07
• cisco+freeradius,StSphinx, 14:07 , 14-Сен-07
  • cisco+freeradius,mailrib, 14:13 , 14-Сен-07
    • cisco+freeradius,mailrib, 15:41 , 20-Сен-07
      • cisco+freeradius,intellegent, 18:06 , 20-Сен-07
        • cisco+freeradius,Alex, 18:58 , 20-Сен-07
        • cisco+freeradius,mailrib, 12:47 , 21-Сен-07
        • cisco+freeradius,mailrib, 16:25 , 21-Сен-07
          • cisco+freeradius,Pcom, 16:42 , 21-Сен-07
            • cisco+freeradius,mailrib, 17:26 , 21-Сен-07
              • cisco+freeradius,mailrib, 14:13 , 24-Сен-07
                • cisco+freeradius,obstracion, 11:32 , 25-Сен-07

>юзаю цыску 35хх и фрирадиус, скомпиленный на freeBSD.
>чо я хачу - хочу авторизировать доступ к цыске по радиусу.
>радиус юзает системную базу пользователей самой фряхи. все вроде работает но...
>как мне разгарничить привилегии? файлик users не канает. админов очень много и
>постоянно кого-то прописывать/изменять нет ни времени.
>
>1. разделить доступ по привилегиям
>2. на некоторые цыски запретить доступ вообще энным аккаунтам.
>
>фрирадиус использую без мускуля.

удалите freebsd и поставьте нормальную ОС - тогда с радостью помогу...

>[оверквотинг удален]
>>радиус юзает системную базу пользователей самой фряхи. все вроде работает но...
>>как мне разгарничить привилегии? файлик users не канает. админов очень много и
>>постоянно кого-то прописывать/изменять нет ни времени.
>>
>>1. разделить доступ по привилегиям
>>2. на некоторые цыски запретить доступ вообще энным аккаунтам.
>>
>>фрирадиус использую без мускуля.
>
>удалите freebsd и поставьте нормальную ОС - тогда с радостью помогу...

нормальную это какую? скажите, поставлю.

>юзаю цыску 35хх и фрирадиус, скомпиленный на freeBSD.
>чо я хачу - хочу авторизировать доступ к цыске по радиусу.
>радиус юзает системную базу пользователей самой фряхи. все вроде работает но...
>как мне разгарничить привилегии? файлик users не канает. админов очень много и
>постоянно кого-то прописывать/изменять нет ни времени.
>
>1. разделить доступ по привилегиям
>2. на некоторые цыски запретить доступ вообще энным аккаунтам.
>
>фрирадиус использую без мускуля.

Посмотрите в сторону замены Radius на Tacacs.

>Посмотрите в сторону замены Radius на Tacacs.

как бы хотелось что нибудь конкретное услышать а не просто: посмотрите туда, посмотрите сюда. такакс уже не поддерживается, не обновляется.

мне всего-то надо, разделить доступ к администрированию цысок по группам. (можно, нельзя, можно но только смотреть, вали отсюда. к примеру так)

ладно, спрошу еще тогда:
как можно без использования постгре, лдапа и мускуля разделить пользователей на группы ???
ведь можно как-то. для чего в радиусе поля /etc/group тогда ???
кто нить мне поможет?

Когда-то помнится ковырял radius и доступ к cisco. Есть такое понятие как avpair. Это понятие - параметр, которые передается от радиус сервера на циску и говорит о том, какими полномочиями будет обладать авторизованный пользователь. Этот параметр я указывал в файле users (подробности man radius.conf). В cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия. Если в users какому-то пользователю задать параметр avpair равным 15, то после авторизации на радиусе он залогинется на циске сразу в enable режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение определенных команд cisco IOS с определенным уровнем полномочий.

Посмотрите в файле raddb/users при использовании в текстовом формате :
<>              Auth-Type := Local, User-Password == "user name"
                Calling-Station-Id == "1.1.1.1" # - from ip address
                Service-Type = Login-User,
                cisco-avpair = "shell:priv-lvl=7", # login priv level
#               Reply-Messagy = "Hello, %u"

Лучше вести общую базу на mysql, FreeRadius имеет всё необходимое.
Но на FreeBSD придётся делать manualно.

>Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение определенных команд cisco IOS с определенным уровнем полномочий.

гм... а как ??? поставил я в файлике users cisco-avpair = "shell:priv-lvl=15" а логинюсь все равно с левелом ниже 6-го т.е. show мне не доступна. (((

>Когда-то помнится ковырял radius и доступ к cisco. Есть такое понятие как
>avpair. Это понятие - параметр, которые передается от радиус сервера на
>циску и говорит о том, какими полномочиями будет обладать авторизованный пользователь.
>Этот параметр я указывал в файле users (подробности man radius.conf). В
>cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия.
>Если в users какому-то пользователю задать параметр avpair равным 15, то
>после авторизации на радиусе он залогинется на циске сразу в enable
>режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение
>определенных команд cisco IOS с определенным уровнем полномочий.

большое спасибо за совет! помог!
теперь следующая проблеммка, разделить всех на две три группы.
с полными правами, ограниченными правами и запрещающими правами.

>[оверквотинг удален]
>>Этот параметр я указывал в файле users (подробности man radius.conf). В
>>cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия.
>>Если в users какому-то пользователю задать параметр avpair равным 15, то
>>после авторизации на радиусе он залогинется на циске сразу в enable
>>режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение
>>определенных команд cisco IOS с определенным уровнем полномочий.
>
>большое спасибо за совет! помог!
>теперь следующая проблеммка, разделить всех на две три группы.
>с полными правами, ограниченными правами и запрещающими правами.

Со всем вышеперечисленным очень хорошо справляется Cisco ACS.
Легко ищется в осле :)

>[оверквотинг удален]
>>>после авторизации на радиусе он залогинется на циске сразу в enable
>>>режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение
>>>определенных команд cisco IOS с определенным уровнем полномочий.
>>
>>большое спасибо за совет! помог!
>>теперь следующая проблеммка, разделить всех на две три группы.
>>с полными правами, ограниченными правами и запрещающими правами.
>
>Со всем вышеперечисленным очень хорошо справляется Cisco ACS.
>Легко ищется в осле :)

я знаю что ACS рулит, но - у нас фирма юзает только лицензионный софт. придет проверка, аха, крякнутый - заплатите ка штраф, а идем-ка мы тебя посадим.
нет, это выход но... ни кто покупать не будет.

вощем решил я таки свою проблему полностью.
всем спасибо кто помогал и советовал.
работает так как мне и надо было.

>вощем решил я таки свою проблему полностью.
>всем спасибо кто помогал и советовал.
>работает так как мне и надо было.

А решение какое нашел хоть скажи, людям интересно, да и задокументировать надо! Тебе от нас спасибо заранее :)