cisco: TACACS+ предоставление доступа случайным пользователям

Cisco: предоставление доступа случайным пользователям,ограничение запуска команд для пользователя

Нужно дать доступ к cisco-девайсу с чётким списком команд.
В принципе, вроде как ничего сложного здесь нет. В устройствах cisco существуют уровни привилегий, настроив которые, можно добиться желаемого:

Недостаток

  • определение набора команд, для уровня привилегий, на каждом устройстве и когда их много — просто нереал

Выход

  • Включить ограничения средствами AAA сервера, используя авторизацию команд.

Для tacacs+ и пользователя wel:

3 leve’а привилегий на роутере по умолчанию:

  • privilege level 1 = non-privileged (строка router>), default level после входа
  • privilege level 15 = privileged — привилегированно (строка router#), уровень enable
  • privilege level 0 = seldom used, включает 5 команд: disable, enable, exit, help, and logout
#tac_pwd
Password to be encrypted: mypassword
EEC7t7Q9w8Ggs
user = wel {
  member = only_show_cmd
  password = des EEC7t7Q9w8Ggs
}
group = only_show_cmd {
  default service = deny
  service = exec {
    priv-lvl = 15
    idletime = 10
  }
  cmd = show {
    permit "show int.*"
    permit "running-config.*"
    permit "ip int.*"
    permit "controllers.*"
  }
}

Очевидно, что на оборудовании нужно сделать изменения.

tacacs-server host 172.16.10.254
tacacs-server key your_key
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable none
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+
 
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server
privilege exec level 7 ping
privilege exec level 7 configure terminal
privilege exec level 7 configure

Можно enable хранить/менять в tacacs’e:
Пока оборудование будет подключено к сети, то есть к tacacs-серверу — пароль берётся с сервера. Включить Cisco enable необходимо выключить tacacs или отключить tacacs-сервера.

1
aaa authentication enable default group tacacs+ enable none

Задать уровень, на котором будут отсылаться пакеты с командами.

1
aaa accounting commands 15 default start-stop group tacacs+


Задать группу пользователей, которым можно разрешить доступ к оборудованию

используются списки доступа в конфигурационном файле tacacs. Например:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
acl = Users {
       permit =^172.16.1.122$
       deny   =^10.
}
 
group = Users {
       default service = permit
       service = exec {
               default attribute = permit
               priv-lvl = 15
       }
       acl = Users
}
user = someuser {
       login = des EEC7t7Q9w8Ggs
       member = Users
}
privilege mode [all] level level command-string

Configures the specified privilege level to allow access to the specified command or, if the all keyword is used, to all commands that start with the specified string, and to all commands in any configuration submodes of that command.

•Repeat this command as necessary to associate the appropriate commands with the specified privilege level, or to create multiple privilege levels.
Обычно решают такие вопросы.

debug aaa authentication
debug tacacs
debug tacacs events

выполнение явно не определенных команд при помощи параметра default service = deny.


Leave a Comment

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Загрузка...
Menu Title