Коллеги, добрый день!Нужна помощь, в нашей организации произошло разделение доступа к оборудованию Cisco!
Доступ к цискам осуществляется через Tacacs+ CiscoSecure ACS на все оборудование,
в tacacs+ есть два логина, вопрос, как можно настроить, что бы один логин имел доступ только к тем цискам какие ему разрешены??? помогите пожалуйста разобраться!
>Коллеги, добрый день!
>
>Нужна помощь, в нашей организации произошло разделение доступа к оборудованию Cisco!
>Доступ к цискам осуществляется через Tacacs+ CiscoSecure ACS на все оборудование,
>в tacacs+ есть два логина, вопрос, как можно настроить, что бы один
>логин имел доступ только к тем цискам какие ему разрешены??? помогите
>пожалуйста разобраться!Перечислить в списке “разрешенных” циски на которые можно заходить.
>>Коллеги, добрый день!
>>
>>Нужна помощь, в нашей организации произошло разделение доступа к оборудованию Cisco!
>>Доступ к цискам осуществляется через Tacacs+ CiscoSecure ACS на все оборудование,
>>в tacacs+ есть два логина, вопрос, как можно настроить, что бы один
>>логин имел доступ только к тем цискам какие ему разрешены??? помогите
>>пожалуйста разобраться!
>
>Перечислить в списке “разрешенных” циски на которые можно заходить.А где данный список взять? в настройках я нашел только Network access filter
>А где данный список взять? в настройках я нашел только Network access
>filterКакая версия Cisco ACS?
>
>>А где данный список взять? в настройках я нашел только Network access
>>filter
>
>Какая версия Cisco ACS?Версия 4.1
>>
>>>А где данный список взять? в настройках я нашел только Network access
>>>filter
>>
>>Какая версия Cisco ACS?
>
>Версия 4.1Для 4.1 это называется Network Access Restrictions и в настройках интерфейса нужно включить опцию User-Level Network Access Restrictions
>>>
>>>>А где данный список взять? в настройках я нашел только Network access
>>>>filter
>>>
>>>Какая версия Cisco ACS?
>>
>>Версия 4.1
>
>Для 4.1 это называется Network Access Restrictions и в настройках интерфейса нужно
>включить опцию User-Level Network Access RestrictionsСледующий вопрос как привязать данные правила к логину? )
>Следующий вопрос как привязать данные правила к логину? )я создал группу железок (NS) которую мне надо разрешить логину.
в настройках логина появился пункт NARs (Shared Network Access Restrictions )да и еще когда я добавляю в NARs группу железок, то получается, что я или разрешаю(логин может попасть на любую циску) или запрещаю доступ (Доступ закрыт на все циски),
>получается, что я или разрешаю(логин может попасть на любую циску) или
>запрещаю доступ (Доступ закрыт на все циски),Выдержка из мануала
In the Network Access Restrictions table, under Per User Defined Network Access Restrictions,
check the Define IP-based access restrictions check box.
b. To specify whether the subsequent listing specifies permitted or denied IP addresses, from the Table
Defines list, select one:
– Permitted Calling/Point of Access Locations
– Denied Calling/Point of Access Locations
c. Select or enter the information in the following boxes:
– AAA Client—Select All AAA Clients, or the name of a network device group (NDG), or the
name of the individual AAA client, to which to permit or deny access.
– Port—Type the number of the port to which to permit or deny access. You can use the asterisk
(*) as a wildcard to permit or deny access to all ports on the selected AAA client.
– Address—Type the IP address or addresses to use when performing access restrictions. You can use the asterisk (*) as a wildcard.
>[оверквотинг удален]
>– AAA Client—Select All AAA Clients, or the name of a network
>device group (NDG), or the
>name of the individual AAA client, to which to permit or deny
>access.
>– Port—Type the number of the port to which to permit or
>deny access. You can use the asterisk
>(*) as a wildcard to permit or deny access to all ports
>on the selected AAA client.
>– Address—Type the IP address or addresses to use when performing access
>restrictions. You can use the asterisk (*) as a wildcard.данный мануал я уже читал, но он мне особо не помог!
делаю так, в настройках пользователя которому мне надо установить ограничение, в NARs добавляю:
AAA Client: NDG:NS
Port: 22
Address: *
а дальше устанавливаю
Permitted Calling/Point of Access Locations - при данной функции доступ закрыт на все
Denied Calling/Point of Access Locations - при данной функции доступ открыт на всевот мне и не понятно что не так?????
>[оверквотинг удален]
>Port: 22
>Address: *
>а дальше устанавливаю
>Permitted Calling/Point of Access Locations - при данной функции доступ закрыт на
>все
>Denied Calling/Point of Access Locations - при данной функции доступ открыт на
>все
>
>вот мне и не понятно что не так?????
>В Port лучше поставить *
В Address указать IP с какого будут заходить или *
и тогда Permitted или Denied будут иметь отношение к указанной NDG, конкретной циске и т.д. по мануалу.
>[оверквотинг удален]
>>Denied Calling/Point of Access Locations - при данной функции доступ открыт на
>>все
>>
>>вот мне и не понятно что не так?????
>>
>
>В Port лучше поставить *
>В Address указать IP с какого будут заходить или *
>и тогда Permitted или Denied будут иметь отношение к указанной NDG, конкретной
>циске и т.д. по мануалу.Спасибо большое, помогло!!!