юзаю цыску 35хх и фрирадиус, скомпиленный на freeBSD.
чо я хачу - хочу авторизировать доступ к цыске по радиусу.
радиус юзает системную базу пользователей самой фряхи. все вроде работает но...
как мне разгарничить привилегии? файлик users не канает. админов очень много и постоянно кого-то прописывать/изменять нет ни времени.1. разделить доступ по привилегиям
2. на некоторые цыски запретить доступ вообще энным аккаунтам.фрирадиус использую без мускуля.
>юзаю цыску 35хх и фрирадиус, скомпиленный на freeBSD.
>чо я хачу - хочу авторизировать доступ к цыске по радиусу.
>радиус юзает системную базу пользователей самой фряхи. все вроде работает но...
>как мне разгарничить привилегии? файлик users не канает. админов очень много и
>постоянно кого-то прописывать/изменять нет ни времени.
>
>1. разделить доступ по привилегиям
>2. на некоторые цыски запретить доступ вообще энным аккаунтам.
>
>фрирадиус использую без мускуля.удалите freebsd и поставьте нормальную ОС - тогда с радостью помогу...
>[оверквотинг удален]
>>радиус юзает системную базу пользователей самой фряхи. все вроде работает но...
>>как мне разгарничить привилегии? файлик users не канает. админов очень много и
>>постоянно кого-то прописывать/изменять нет ни времени.
>>
>>1. разделить доступ по привилегиям
>>2. на некоторые цыски запретить доступ вообще энным аккаунтам.
>>
>>фрирадиус использую без мускуля.
>
>удалите freebsd и поставьте нормальную ОС - тогда с радостью помогу...нормальную это какую? скажите, поставлю.
>юзаю цыску 35хх и фрирадиус, скомпиленный на freeBSD.
>чо я хачу - хочу авторизировать доступ к цыске по радиусу.
>радиус юзает системную базу пользователей самой фряхи. все вроде работает но...
>как мне разгарничить привилегии? файлик users не канает. админов очень много и
>постоянно кого-то прописывать/изменять нет ни времени.
>
>1. разделить доступ по привилегиям
>2. на некоторые цыски запретить доступ вообще энным аккаунтам.
>
>фрирадиус использую без мускуля.Посмотрите в сторону замены Radius на Tacacs.
>Посмотрите в сторону замены Radius на Tacacs.как бы хотелось что нибудь конкретное услышать а не просто: посмотрите туда, посмотрите сюда. такакс уже не поддерживается, не обновляется.
мне всего-то надо, разделить доступ к администрированию цысок по группам. (можно, нельзя, можно но только смотреть, вали отсюда. к примеру так)
ладно, спрошу еще тогда:
как можно без использования постгре, лдапа и мускуля разделить пользователей на группы ???
ведь можно как-то. для чего в радиусе поля /etc/group тогда ???
кто нить мне поможет?
Когда-то помнится ковырял radius и доступ к cisco. Есть такое понятие как avpair. Это понятие - параметр, которые передается от радиус сервера на циску и говорит о том, какими полномочиями будет обладать авторизованный пользователь. Этот параметр я указывал в файле users (подробности man radius.conf). В cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия. Если в users какому-то пользователю задать параметр avpair равным 15, то после авторизации на радиусе он залогинется на циске сразу в enable режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение определенных команд cisco IOS с определенным уровнем полномочий.
Посмотрите в файле raddb/users при использовании в текстовом формате :
<> Auth-Type := Local, User-Password == "user name"
Calling-Station-Id == "1.1.1.1" # - from ip address
Service-Type = Login-User,
cisco-avpair = "shell:priv-lvl=7", # login priv level
# Reply-Messagy = "Hello, %u"Лучше вести общую базу на mysql, FreeRadius имеет всё необходимое.
Но на FreeBSD придётся делать manualно.
>Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение определенных команд cisco IOS с определенным уровнем полномочий.гм... а как ??? поставил я в файлике users cisco-avpair = "shell:priv-lvl=15" а логинюсь все равно с левелом ниже 6-го т.е. show мне не доступна. (((
>Когда-то помнится ковырял radius и доступ к cisco. Есть такое понятие как
>avpair. Это понятие - параметр, которые передается от радиус сервера на
>циску и говорит о том, какими полномочиями будет обладать авторизованный пользователь.
>Этот параметр я указывал в файле users (подробности man radius.conf). В
>cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия.
>Если в users какому-то пользователю задать параметр avpair равным 15, то
>после авторизации на радиусе он залогинется на циске сразу в enable
>режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение
>определенных команд cisco IOS с определенным уровнем полномочий.большое спасибо за совет! помог!
теперь следующая проблеммка, разделить всех на две три группы.
с полными правами, ограниченными правами и запрещающими правами.
>[оверквотинг удален]
>>Этот параметр я указывал в файле users (подробности man radius.conf). В
>>cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия.
>>Если в users какому-то пользователю задать параметр avpair равным 15, то
>>после авторизации на радиусе он залогинется на циске сразу в enable
>>режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение
>>определенных команд cisco IOS с определенным уровнем полномочий.
>
>большое спасибо за совет! помог!
>теперь следующая проблеммка, разделить всех на две три группы.
>с полными правами, ограниченными правами и запрещающими правами.Со всем вышеперечисленным очень хорошо справляется Cisco ACS.
Легко ищется в осле :)
>[оверквотинг удален]
>>>после авторизации на радиусе он залогинется на циске сразу в enable
>>>режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение
>>>определенных команд cisco IOS с определенным уровнем полномочий.
>>
>>большое спасибо за совет! помог!
>>теперь следующая проблеммка, разделить всех на две три группы.
>>с полными правами, ограниченными правами и запрещающими правами.
>
>Со всем вышеперечисленным очень хорошо справляется Cisco ACS.
>Легко ищется в осле :)я знаю что ACS рулит, но - у нас фирма юзает только лицензионный софт. придет проверка, аха, крякнутый - заплатите ка штраф, а идем-ка мы тебя посадим.
нет, это выход но... ни кто покупать не будет.
вощем решил я таки свою проблему полностью.
всем спасибо кто помогал и советовал.
работает так как мне и надо было.
>вощем решил я таки свою проблему полностью.
>всем спасибо кто помогал и советовал.
>работает так как мне и надо было.А решение какое нашел хоть скажи, людям интересно, да и задокументировать надо! Тебе от нас спасибо заранее :)