URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6800
[ Назад ]

Исходное сообщение
"CiscoXXXX aaa authorization exec разграничение прав 'админов..."
Отправлено RinatKaa , 10-Дек-04 13:25

Интересна следующая тема: как можно разграничить права для всех, кто имеет доступ к железке + обеспечить логирование сессий.
Необходимость этого вызвана тем, что ко многим железкам (более 50) имеют доступ много "разноквалифицированного" народа, естественно появляются ошибки вследствие некорректной конфигурации, со всеми вытекающими..
Ответ запретить вход всем - не принимается :)
Имел ли кто опыт в борьбе с этим ? Буду весьма признателен за совет.
Спасибо!

Содержание

CiscoXXXX aaa authorization exec разграничение прав 'админов...,YuryD, 15:45 , 10-Дек-04
- CiscoXXXX aaa authorization exec разграничение прав 'админов...,YuryD, 17:16 , 10-Дек-04

Сообщения в этом обсуждении

"CiscoXXXX aaa authorization exec разграничение прав 'админов..."
Отправлено YuryD , 10-Дек-04 15:45

>Интересна следующая тема: как можно разграничить права для всех, кто
Создать level-ы по способностям нанести ущерб и выдавать tacacs
вот такой атрибут
priv-lvl (EXEC)
Specifies the current privilege level for command
authorizations, a number from zero to 15 e.g. priv_lvl=5.

"CiscoXXXX aaa authorization exec разграничение прав 'админов..."
Отправлено YuryD , 10-Дек-04 17:16

> Создать level-ы по способностям нанести ущерб
фишка в посылке сообщений со всех cisco в syslog , там пишут про
смену конфигурации и запрет copy running в startup. При этом вы по [tftp]
сможете получить running после попытки его изменения с именем юзера,
просто перезагрузить железку со старым конфигом, ну и настучать умелому
пользователю по голове.