forum.opennet.ru - "cisco+freeradius" (13)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"cisco+freeradius"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"cisco+freeradius"
Сообщение от mailrib (ok) on 14-Сен-07, 11:43
юзаю цыску 35хх и фрирадиус, скомпиленный на freeBSD. чо я хачу - хочу авторизировать доступ к цыске по радиусу. радиус юзает системную базу пользователей самой фряхи. все вроде работает но... как мне разгарничить привилегии? файлик users не канает. админов очень много и постоянно кого-то прописывать/изменять нет ни времени. 1. разделить доступ по привилегиям 2. на некоторые цыски запретить доступ вообще энным аккаунтам. фрирадиус использую без мускуля.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

cisco+freeradius, LILO, 12:21 , 14-Сен-07, (1)

cisco+freeradius, mailrib, 12:27 , 14-Сен-07, (2)

cisco+freeradius, StSphinx, 14:07 , 14-Сен-07, (3)

cisco+freeradius, mailrib, 14:13 , 14-Сен-07, (4)

cisco+freeradius, mailrib, 15:41 , 20-Сен-07, (5)

cisco+freeradius, intellegent, 18:06 , 20-Сен-07, (6)

cisco+freeradius, Alex, 18:58 , 20-Сен-07, (7)
cisco+freeradius, mailrib, 12:47 , 21-Сен-07, (8)
cisco+freeradius, mailrib, 16:25 , 21-Сен-07, (9)

cisco+freeradius, Pcom, 16:42 , 21-Сен-07, (10)

cisco+freeradius, mailrib, 17:26 , 21-Сен-07, (11)

cisco+freeradius, mailrib, 14:13 , 24-Сен-07, (12)

cisco+freeradius, obstracion, 11:32 , 25-Сен-07, (13)

Сообщения по теме [Сортировка по времени | RSS]

1. "cisco+freeradius"

Сообщение от LILO (??) on 14-Сен-07, 12:21

>юзаю цыску 35хх и фрирадиус, скомпиленный на freeBSD.
>чо я хачу - хочу авторизировать доступ к цыске по радиусу.
>радиус юзает системную базу пользователей самой фряхи. все вроде работает но...
>как мне разгарничить привилегии? файлик users не канает. админов очень много и
>постоянно кого-то прописывать/изменять нет ни времени.
>
>1. разделить доступ по привилегиям
>2. на некоторые цыски запретить доступ вообще энным аккаунтам.
>
>фрирадиус использую без мускуля.
удалите freebsd и поставьте нормальную ОС - тогда с радостью помогу...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "cisco+freeradius"

Сообщение от mailrib (ok) on 14-Сен-07, 12:27

>[оверквотинг удален]
>>радиус юзает системную базу пользователей самой фряхи. все вроде работает но...
>>как мне разгарничить привилегии? файлик users не канает. админов очень много и
>>постоянно кого-то прописывать/изменять нет ни времени.
>>
>>1. разделить доступ по привилегиям
>>2. на некоторые цыски запретить доступ вообще энным аккаунтам.
>>
>>фрирадиус использую без мускуля.
>
>удалите freebsd и поставьте нормальную ОС - тогда с радостью помогу...
нормальную это какую? скажите, поставлю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "cisco+freeradius"

Сообщение от StSphinx (??) on 14-Сен-07, 14:07

>юзаю цыску 35хх и фрирадиус, скомпиленный на freeBSD.
>чо я хачу - хочу авторизировать доступ к цыске по радиусу.
>радиус юзает системную базу пользователей самой фряхи. все вроде работает но...
>как мне разгарничить привилегии? файлик users не канает. админов очень много и
>постоянно кого-то прописывать/изменять нет ни времени.
>
>1. разделить доступ по привилегиям
>2. на некоторые цыски запретить доступ вообще энным аккаунтам.
>
>фрирадиус использую без мускуля.
Посмотрите в сторону замены Radius на Tacacs.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "cisco+freeradius"

Сообщение от mailrib (ok) on 14-Сен-07, 14:13

>Посмотрите в сторону замены Radius на Tacacs.
как бы хотелось что нибудь конкретное услышать а не просто: посмотрите туда, посмотрите сюда. такакс уже не поддерживается, не обновляется.
мне всего-то надо, разделить доступ к администрированию цысок по группам. (можно, нельзя, можно но только смотреть, вали отсюда. к примеру так)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "cisco+freeradius"

Сообщение от mailrib (ok) on 20-Сен-07, 15:41

ладно, спрошу еще тогда:
как можно без использования постгре, лдапа и мускуля разделить пользователей на группы ???
ведь можно как-то. для чего в радиусе поля /etc/group тогда ???
кто нить мне поможет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "cisco+freeradius"

Сообщение от intellegent on 20-Сен-07, 18:06

Когда-то помнится ковырял radius и доступ к cisco. Есть такое понятие как avpair. Это понятие - параметр, которые передается от радиус сервера на циску и говорит о том, какими полномочиями будет обладать авторизованный пользователь. Этот параметр я указывал в файле users (подробности man radius.conf). В cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия. Если в users какому-то пользователю задать параметр avpair равным 15, то после авторизации на радиусе он залогинется на циске сразу в enable режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение определенных команд cisco IOS с определенным уровнем полномочий.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "cisco+freeradius"

Сообщение от Alex (??) on 20-Сен-07, 18:58

Посмотрите в файле raddb/users при использовании в текстовом формате :
<>              Auth-Type := Local, User-Password == "user name"
                Calling-Station-Id == "1.1.1.1" # - from ip address
                Service-Type = Login-User,
                cisco-avpair = "shell:priv-lvl=7", # login priv level
#               Reply-Messagy = "Hello, %u"
Лучше вести общую базу на mysql, FreeRadius имеет всё необходимое.
Но на FreeBSD придётся делать manualно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "cisco+freeradius"

Сообщение от mailrib (ok) on 21-Сен-07, 12:47

>Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение определенных команд cisco IOS с определенным уровнем полномочий.
гм... а как ??? поставил я в файлике users cisco-avpair = "shell:priv-lvl=15" а логинюсь все равно с левелом ниже 6-го т.е. show мне не доступна. (((

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "cisco+freeradius"

Сообщение от mailrib (ok) on 21-Сен-07, 16:25

>Когда-то помнится ковырял radius и доступ к cisco. Есть такое понятие как
>avpair. Это понятие - параметр, которые передается от радиус сервера на
>циску и говорит о том, какими полномочиями будет обладать авторизованный пользователь.
>Этот параметр я указывал в файле users (подробности man radius.conf). В
>cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия.
>Если в users какому-то пользователю задать параметр avpair равным 15, то
>после авторизации на радиусе он залогинется на циске сразу в enable
>режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение
>определенных команд cisco IOS с определенным уровнем полномочий.
большое спасибо за совет! помог!
теперь следующая проблеммка, разделить всех на две три группы.
с полными правами, ограниченными правами и запрещающими правами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "cisco+freeradius"

Сообщение от Pcom (??) on 21-Сен-07, 16:42

>[оверквотинг удален]
>>Этот параметр я указывал в файле users (подробности man radius.conf). В
>>cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия.
>>Если в users какому-то пользователю задать параметр avpair равным 15, то
>>после авторизации на радиусе он залогинется на циске сразу в enable
>>режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение
>>определенных команд cisco IOS с определенным уровнем полномочий.
>
>большое спасибо за совет! помог!
>теперь следующая проблеммка, разделить всех на две три группы.
>с полными правами, ограниченными правами и запрещающими правами.
Со всем вышеперечисленным очень хорошо справляется Cisco ACS.
Легко ищется в осле :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "cisco+freeradius"

Сообщение от mailrib (ok) on 21-Сен-07, 17:26

>[оверквотинг удален]
>>>после авторизации на радиусе он залогинется на циске сразу в enable
>>>режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение
>>>определенных команд cisco IOS с определенным уровнем полномочий.
>>
>>большое спасибо за совет! помог!
>>теперь следующая проблеммка, разделить всех на две три группы.
>>с полными правами, ограниченными правами и запрещающими правами.
>
>Со всем вышеперечисленным очень хорошо справляется Cisco ACS.
>Легко ищется в осле :)
я знаю что ACS рулит, но - у нас фирма юзает только лицензионный софт. придет проверка, аха, крякнутый - заплатите ка штраф, а идем-ка мы тебя посадим.
нет, это выход но... ни кто покупать не будет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "cisco+freeradius"

Сообщение от mailrib (ok) on 24-Сен-07, 14:13

вощем решил я таки свою проблему полностью.
всем спасибо кто помогал и советовал.
работает так как мне и надо было.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "cisco+freeradius"

Сообщение от obstracion on 25-Сен-07, 11:32

>вощем решил я таки свою проблему полностью.
>всем спасибо кто помогал и советовал.
>работает так как мне и надо было.
А решение какое нашел хоть скажи, людям интересно, да и задокументировать надо! Тебе от нас спасибо заранее :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "cisco+freeradius"
Сообщение от LILO (??) on 14-Сен-07, 12:21
>юзаю цыску 35хх и фрирадиус, скомпиленный на freeBSD. >чо я хачу - хочу авторизировать доступ к цыске по радиусу. >радиус юзает системную базу пользователей самой фряхи. все вроде работает но... >как мне разгарничить привилегии? файлик users не канает. админов очень много и >постоянно кого-то прописывать/изменять нет ни времени. > >1. разделить доступ по привилегиям >2. на некоторые цыски запретить доступ вообще энным аккаунтам. > >фрирадиус использую без мускуля. удалите freebsd и поставьте нормальную ОС - тогда с радостью помогу...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "cisco+freeradius"
	Сообщение от mailrib (ok) on 14-Сен-07, 12:27
	>[оверквотинг удален] >>радиус юзает системную базу пользователей самой фряхи. все вроде работает но... >>как мне разгарничить привилегии? файлик users не канает. админов очень много и >>постоянно кого-то прописывать/изменять нет ни времени. >> >>1. разделить доступ по привилегиям >>2. на некоторые цыски запретить доступ вообще энным аккаунтам. >> >>фрирадиус использую без мускуля. > >удалите freebsd и поставьте нормальную ОС - тогда с радостью помогу... нормальную это какую? скажите, поставлю.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "cisco+freeradius"
Сообщение от StSphinx (??) on 14-Сен-07, 14:07
>юзаю цыску 35хх и фрирадиус, скомпиленный на freeBSD. >чо я хачу - хочу авторизировать доступ к цыске по радиусу. >радиус юзает системную базу пользователей самой фряхи. все вроде работает но... >как мне разгарничить привилегии? файлик users не канает. админов очень много и >постоянно кого-то прописывать/изменять нет ни времени. > >1. разделить доступ по привилегиям >2. на некоторые цыски запретить доступ вообще энным аккаунтам. > >фрирадиус использую без мускуля. Посмотрите в сторону замены Radius на Tacacs.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "cisco+freeradius"
	Сообщение от mailrib (ok) on 14-Сен-07, 14:13
	>Посмотрите в сторону замены Radius на Tacacs. как бы хотелось что нибудь конкретное услышать а не просто: посмотрите туда, посмотрите сюда. такакс уже не поддерживается, не обновляется. мне всего-то надо, разделить доступ к администрированию цысок по группам. (можно, нельзя, можно но только смотреть, вали отсюда. к примеру так)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "cisco+freeradius"
	Сообщение от mailrib (ok) on 20-Сен-07, 15:41
	ладно, спрошу еще тогда: как можно без использования постгре, лдапа и мускуля разделить пользователей на группы ??? ведь можно как-то. для чего в радиусе поля /etc/group тогда ??? кто нить мне поможет?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "cisco+freeradius"
	Сообщение от intellegent on 20-Сен-07, 18:06
	Когда-то помнится ковырял radius и доступ к cisco. Есть такое понятие как avpair. Это понятие - параметр, которые передается от радиус сервера на циску и говорит о том, какими полномочиями будет обладать авторизованный пользователь. Этот параметр я указывал в файле users (подробности man radius.conf). В cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия. Если в users какому-то пользователю задать параметр avpair равным 15, то после авторизации на радиусе он залогинется на циске сразу в enable режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение определенных команд cisco IOS с определенным уровнем полномочий.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "cisco+freeradius"
	Сообщение от Alex (??) on 20-Сен-07, 18:58
	Посмотрите в файле raddb/users при использовании в текстовом формате : <> Auth-Type := Local, User-Password == "user name" Calling-Station-Id == "1.1.1.1" # - from ip address Service-Type = Login-User, cisco-avpair = "shell:priv-lvl=7", # login priv level # Reply-Messagy = "Hello, %u" Лучше вести общую базу на mysql, FreeRadius имеет всё необходимое. Но на FreeBSD придётся делать manualно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "cisco+freeradius"
	Сообщение от mailrib (ok) on 21-Сен-07, 12:47
	>Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение определенных команд cisco IOS с определенным уровнем полномочий. гм... а как ??? поставил я в файлике users cisco-avpair = "shell:priv-lvl=15" а логинюсь все равно с левелом ниже 6-го т.е. show мне не доступна. (((
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "cisco+freeradius"
	Сообщение от mailrib (ok) on 21-Сен-07, 16:25
	>Когда-то помнится ковырял radius и доступ к cisco. Есть такое понятие как >avpair. Это понятие - параметр, которые передается от радиус сервера на >циску и говорит о том, какими полномочиями будет обладать авторизованный пользователь. >Этот параметр я указывал в файле users (подробности man radius.conf). В >cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия. >Если в users какому-то пользователю задать параметр avpair равным 15, то >после авторизации на радиусе он залогинется на циске сразу в enable >режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение >определенных команд cisco IOS с определенным уровнем полномочий. большое спасибо за совет! помог! теперь следующая проблеммка, разделить всех на две три группы. с полными правами, ограниченными правами и запрещающими правами.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "cisco+freeradius"
	Сообщение от Pcom (??) on 21-Сен-07, 16:42
	>[оверквотинг удален] >>Этот параметр я указывал в файле users (подробности man radius.conf). В >>cisco IOS есть 16 уровней доступа (0...15). 15 уровень мксимальные полномочия. >>Если в users какому-то пользователю задать параметр avpair равным 15, то >>после авторизации на радиусе он залогинется на циске сразу в enable >>режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение >>определенных команд cisco IOS с определенным уровнем полномочий. > >большое спасибо за совет! помог! >теперь следующая проблеммка, разделить всех на две три группы. >с полными правами, ограниченными правами и запрещающими правами. Со всем вышеперечисленным очень хорошо справляется Cisco ACS. Легко ищется в осле :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "cisco+freeradius"
	Сообщение от mailrib (ok) on 21-Сен-07, 17:26
	>[оверквотинг удален] >>>после авторизации на радиусе он залогинется на циске сразу в enable >>>режиме. Соответственно на каждом коммутаторе и маршрутизаторе есть возможность произвести соотношение >>>определенных команд cisco IOS с определенным уровнем полномочий. >> >>большое спасибо за совет! помог! >>теперь следующая проблеммка, разделить всех на две три группы. >>с полными правами, ограниченными правами и запрещающими правами. > >Со всем вышеперечисленным очень хорошо справляется Cisco ACS. >Легко ищется в осле :) я знаю что ACS рулит, но - у нас фирма юзает только лицензионный софт. придет проверка, аха, крякнутый - заплатите ка штраф, а идем-ка мы тебя посадим. нет, это выход но... ни кто покупать не будет.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "cisco+freeradius"
	Сообщение от mailrib (ok) on 24-Сен-07, 14:13
	вощем решил я таки свою проблему полностью. всем спасибо кто помогал и советовал. работает так как мне и надо было.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "cisco+freeradius"
	Сообщение от obstracion on 25-Сен-07, 11:32
	>вощем решил я таки свою проблему полностью. >всем спасибо кто помогал и советовал. >работает так как мне и надо было. А решение какое нашел хоть скажи, людям интересно, да и задокументировать надо! Тебе от нас спасибо заранее :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]