https://www.opennet.ru/openforum/vsluhforumID6/19077.html Коллеги, добрый день!<br><br>Нужна помощь, в нашей организации произошло разделение доступа к оборудованию Cisco!<br>Доступ к цискам осуществляется через Tacacs+ CiscoSecure ACS на все оборудование, <br>в tacacs+ есть два логина, вопрос, как можно настроить, что бы один логин имел доступ только к тем цискам какие ему разрешены??? помогите пожалуйста разобраться! <br> https://www.opennet.ru/openforum/vsluhforumID6/19077.html#11 Thu, 18 Jun 2009 06:24:59 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Denied Calling/Point of Access Locations - при данной функции доступ открыт на <br>&gt;&gt;все <br>&gt;&gt;<br>&gt;&gt;вот мне и не понятно что не так????? <br>&gt;&gt;<br>&gt;<br>&gt;В Port лучше поставить * <br>&gt;В Address указать IP с какого будут заходить или * <br>&gt;и тогда Permitted или Denied будут иметь отношение к указанной NDG, конкретной <br>&gt;циске и т.д. по мануалу. <br><br>Спасибо большое, помогло!!! <br> https://www.opennet.ru/openforum/vsluhforumID6/19077.html#10 Thu, 18 Jun 2009 05:36:53 GMT &gt;[оверквотинг удален]<br>&gt;Port: 22 <br>&gt;Address: * <br>&gt;а дальше устанавливаю <br>&gt;Permitted Calling/Point of Access Locations - при данной функции доступ закрыт на <br>&gt;все <br>&gt;Denied Calling/Point of Access Locations - при данной функции доступ открыт на <br>&gt;все <br>&gt;<br>&gt;вот мне и не понятно что не так????? <br>&gt;<br><br>В Port лучше поставить *<br>В Address указать IP с какого будут заходить или *<br>и тогда Permitted или Denied будут иметь отношение к указанной NDG, конкретной циске и т.д. по мануалу.<br> https://www.opennet.ru/openforum/vsluhforumID6/19077.html#9 Thu, 18 Jun 2009 01:40:57 GMT <br>&gt;[оверквотинг удален]<br>&gt;&#8211; AAA Client&#8212;Select All AAA Clients, or the name of a network <br>&gt;device group (NDG), or the <br>&gt;name of the individual AAA client, to which to permit or deny <br>&gt;access. <br>&gt;&#8211; Port&#8212;Type the number of the port to which to permit or <br>&gt;deny access. You can use the asterisk <br>&gt;(*) as a wildcard to permit or deny access to all ports <br>&gt;on the selected AAA client. <br>&gt;&#8211; Address&#8212;Type the IP address or addresses to use when performing access <br>&gt;restrictions. You can use the asterisk (*) as a wildcard. <br><br>данный мануал я уже читал, но он мне особо не помог!<br><br>делаю так, в настройках пользователя которому мне надо установить ограничение, в NARs добавляю:<br>AAA Client: NDG:NS<br>Port: 22<br>Address: *<br>а дальше устанавливаю<br>Permitted Calling/Point of Access Locations - при данной функции доступ закрыт на все<br>Denied Calling/Point of Access Locations - при данной функции доступ открыт на все<br><br>вот мне и не понятно что не так?????<br><br> <br> https://www.opennet.ru/openforum/vsluhforumID6/19077.html#8 Wed, 17 Jun 2009 10:34:38 GMT <br>&gt;получается, что я или разрешаю(логин может попасть на любую циску) или <br>&gt;запрещаю доступ (Доступ закрыт на все циски), <br><br>Выдержка из мануала<br><br>In the Network Access Restrictions table, under Per User Defined Network Access Restrictions,<br>check the Define IP-based access restrictions check box.<br>b. To specify whether the subsequent listing specifies permitted or denied IP addresses, from the Table<br>Defines list, select one:<br>&#8211; Permitted Calling/Point of Access Locations<br>&#8211; Denied Calling/Point of Access Locations<br>c. Select or enter the information in the following boxes:<br>&#8211; AAA Client&#8212;Select All AAA Clients, or the name of a network device group (NDG), or the<br>name of the individual AAA client, to which to permit or deny access.<br>&#8211; Port&#8212;Type the number of the port to which to permit or deny access. You can use the asterisk<br>(*) as a wildcard to permit or deny access to all ports on the selected AAA client.<br>&#8211; Address&#8212;Type the IP address or addresses to us https://www.opennet.ru/openforum/vsluhforumID6/19077.html#7 Wed, 17 Jun 2009 09:34:06 GMT <br>&gt;Следующий вопрос как привязать данные правила к логину? ) <br><br>я создал группу железок (NS) которую мне надо разрешить логину.<br>в настройках логина появился пункт NARs (Shared Network Access Restrictions )<br><br>да и еще когда я добавляю в NARs группу железок, то получается, что я или разрешаю(логин может попасть на любую циску) или запрещаю доступ (Доступ закрыт на все циски), <br><br> https://www.opennet.ru/openforum/vsluhforumID6/19077.html#6 Wed, 17 Jun 2009 09:15:04 GMT &gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;А где данный список взять? в настройках я нашел только Network access <br>&gt;&gt;&gt;&gt;filter <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Какая версия Cisco ACS? <br>&gt;&gt;<br>&gt;&gt;Версия 4.1 <br>&gt;<br>&gt;Для 4.1 это называется Network Access Restrictions и в настройках интерфейса нужно <br>&gt;включить опцию User-Level Network Access Restrictions <br><br>Следующий вопрос как привязать данные правила к логину? )<br> https://www.opennet.ru/openforum/vsluhforumID6/19077.html#5 Wed, 17 Jun 2009 09:08:12 GMT &gt;&gt;<br>&gt;&gt;&gt;А где данный список взять? в настройках я нашел только Network access <br>&gt;&gt;&gt;filter <br>&gt;&gt;<br>&gt;&gt;Какая версия Cisco ACS? <br>&gt;<br>&gt;Версия 4.1 <br><br>Для 4.1 это называется Network Access Restrictions и в настройках интерфейса нужно включить опцию User-Level Network Access Restrictions<br><br> https://www.opennet.ru/openforum/vsluhforumID6/19077.html#4 Wed, 17 Jun 2009 08:56:21 GMT &gt;<br>&gt;&gt;А где данный список взять? в настройках я нашел только Network access <br>&gt;&gt;filter <br>&gt;<br>&gt;Какая версия Cisco ACS? <br><br>Версия 4.1<br> https://www.opennet.ru/openforum/vsluhforumID6/19077.html#3 Wed, 17 Jun 2009 08:21:03 GMT <br>&gt;А где данный список взять? в настройках я нашел только Network access <br>&gt;filter <br><br>Какая версия Cisco ACS?<br>