The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Juniper & tacacs+"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Изначальное сообщение [ Отслеживать ]

"Juniper & tacacs+"  +/
Сообщение от nixit (ok) on 02-Янв-14, 07:19 
Всех с наступившим новым годом. Возник у меня такой вопрос: как более гибко выполнить привязку оборудования juniper к tacacs+?

Сейчас, на каждом джунике у меня создано что-то вроде:


        user remote-read-only {        
            full-name "User template for remote read-only";
            uid 2014;
            class read-only;
        }
        user remote-super-users {
            full-name "User template for remote super-users";
            uid 2013;
            class super-user;
        }

Но в ситуации, когда я захочу дать кому-либо частичные права на изменение конфигурации, мне придется на всех джуниках создать класс пользователей и указать команды которые разрешены этому классу. А если я захочу их изменить? Согласитесь, это не очень удобно...

Я уверен, что средствами самого tacacs+ можно решить эту проблему, хотя я и не нашел как. Все что в открытом доступе на сайте "juniper.com", умалчивает о такой возможности. А поддержку нам так и не купили.

Возможно, кто-то занимался подобным вопросом? Прошу подсказать, как сделано у Вас.
Спасибо.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Juniper & tacacs+"  +/
Сообщение от anonymous (??) on 03-Янв-14, 17:09 
>[оверквотинг удален]
> Но в ситуации, когда я захочу дать кому-либо частичные права на изменение
> конфигурации, мне придется на всех джуниках создать класс пользователей и указать
> команды которые разрешены этому классу. А если я захочу их изменить?
> Согласитесь, это не очень удобно...
> Я уверен, что средствами самого tacacs+ можно решить эту проблему, хотя я
> и не нашел как. Все что в открытом доступе на сайте
> "juniper.com", умалчивает о такой возможности. А поддержку нам так и не
> купили.
> Возможно, кто-то занимался подобным вопросом? Прошу подсказать, как сделано у Вас.
> Спасибо.

Доброго времени суток.
Сразу оговорюсь - juniper'ов у меня нет, поэтому насколько нижеследующее будет соответствовать Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+.
В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации по регулярному выражению. В других реализациях протокола это может быть не реализовано, например, поэтому важно знать, какой сервер вы используете.
Оборудование cisco работает с этим (кажется, они этот сервер и писали, а потом выложили в открытый доступ), juniper, по идее, тоже.
http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
Из того, что нагуглилось сходу.
Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно особых возникнуть.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Juniper & tacacs+"  +/
Сообщение от nixit (ok) on 04-Янв-14, 16:00 
Эм... По ссылке

Not Found

The requested URL /techpubs/en_US/junos13.2/topics/concept/authentication-regular-expressions-usage-allow-deny-command-overview.html was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


>[оверквотинг удален]
> Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+.
> В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации
> по регулярному выражению. В других реализациях протокола это может быть не
> реализовано, например, поэтому важно знать, какой сервер вы используете.
> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а
> потом выложили в открытый доступ), juniper, по идее, тоже.
> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
> Из того, что нагуглилось сходу.
> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
> особых возникнуть.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Juniper & tacacs+"  +/
Сообщение от anonymous (??) on 05-Янв-14, 12:25 
>[оверквотинг удален]
>> Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+.
>> В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации
>> по регулярному выражению. В других реализациях протокола это может быть не
>> реализовано, например, поэтому важно знать, какой сервер вы используете.
>> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а
>> потом выложили в открытый доступ), juniper, по идее, тоже.
>> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
>> Из того, что нагуглилось сходу.
>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
>> особых возникнуть.

Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions on a RADIUS or TACACS+ Server to Allow or Deny Access to Commands".

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Juniper & tacacs+"  +/
Сообщение от nixit (ok) on 05-Янв-14, 13:42 
Да открыл, но без указания local-user-name даже не хочет авторизовываться. А при указании оного, регулярные выражения работать не будут.

>[оверквотинг удален]
>>> реализовано, например, поэтому важно знать, какой сервер вы используете.
>>> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а
>>> потом выложили в открытый доступ), juniper, по идее, тоже.
>>> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
>>> Из того, что нагуглилось сходу.
>>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
>>> особых возникнуть.
> Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions
> on a RADIUS or TACACS+ Server to Allow or Deny Access
> to Commands".

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Juniper & tacacs+"  +/
Сообщение от anonymous (??) on 05-Янв-14, 14:25 
>[оверквотинг удален]
>>>> реализовано, например, поэтому важно знать, какой сервер вы используете.
>>>> Оборудование cisco работает с этим (кажется, они этот сервер и писали, а
>>>> потом выложили в открытый доступ), juniper, по идее, тоже.
>>>> http://www.juniper.net/techpubs/en_US/junos13.2/topics/conce...
>>>> Из того, что нагуглилось сходу.
>>>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
>>>> особых возникнуть.
>> Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions
>> on a RADIUS or TACACS+ Server to Allow or Deny Access
>> to Commands".

Значит, как-то не так настроено AAA, если приоритетом идет локальная БД пользователей, а не tacacs+.
Обычно локальные пользователи идут fallback'ом в случае недоступности tacacs+ сервера и указываются после настроек tacacs+.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Juniper & tacacs+"  +/
Сообщение от nixit (ok) on 05-Янв-14, 15:37 
Локально указывается класс пользователя и права, по другому - никак. А сами пользователи не заведены локально.

>[оверквотинг удален]
>>>>> Из того, что нагуглилось сходу.
>>>>> Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно
>>>>> особых возникнуть.
>>> Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions
>>> on a RADIUS or TACACS+ Server to Allow or Deny Access
>>> to Commands".
> Значит, как-то не так настроено AAA, если приоритетом идет локальная БД пользователей,
> а не tacacs+.
> Обычно локальные пользователи идут fallback'ом в случае недоступности tacacs+ сервера
> и указываются после настроек tacacs+.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Juniper & tacacs+"  +/
Сообщение от anonymous (??) on 06-Янв-14, 00:15 
> Локально указывается класс пользователя и права, по другому - никак. А сами
> пользователи не заведены локально.

Покажите конфиг tac_plus сервера и Вашего джунипера.

http://kb.juniper.net/InfoCenter/index?page=content&id=KB17269
https://webcache.googleusercontent.com/search?q=cache:oM3akh...

Из полезных на первый взгляд ссылок, если еще не читали.

В частности, раздел "Map the local user template to the TACACS+ user accounts (optional):"
Похож на то, что нужно + после него прописать регэкспы на стороне tac_plus сервера.

Кстати, Вы так и не ответили, какую реализацию tacacs+ протокола Вы используете.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Juniper & tacacs+"  +/
Сообщение от nixit (ok) on 06-Янв-14, 05:47 
Спасибо, вроде разобрался.

>[оверквотинг удален]
>> пользователи не заведены локально.
> Покажите конфиг tac_plus сервера и Вашего джунипера.
> http://kb.juniper.net/InfoCenter/index?page=content&id=KB17269
> https://webcache.googleusercontent.com/search?q=cache:oM3akh...
> Из полезных на первый взгляд ссылок, если еще не читали.
> В частности, раздел "Map the local user template to the TACACS+ user
> accounts (optional):"
> Похож на то, что нужно + после него прописать регэкспы на стороне
> tac_plus сервера.
> Кстати, Вы так и не ответили, какую реализацию tacacs+ протокола Вы используете.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру