Tacacs + scenario: posso consentire all'utente di configurare solo per un'interfaccia e negare agli altri

3

Attualmente sto distribuendo TACACS + con un dispositivo Cisco, utilizzo un server TACACS da qui: link

Il mio scenario è: voglio consentire a un utente di configurare il mio router ma solo per un'interfaccia specifica, cioè per gigabitethernet0 / 0. Dopo essere arrivato al router (config-if) # l'utente può fare quello che vuole con quell'interfaccia, ma non può cambiare ad un'altra interfaccia né modificare la configurazione nel router (config) #.
Finora la mia configurazione in tac_plus.conf è così:

#limited admin group = limitedadmin {
default service = deny
service = shell {
priv-lvl = 15
}
cmd = configure {
permit terminal
}
cmd = interface {
permit "GigabitEthernet 0/0"
}}

E questa è la configurazione di Cisco:

aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login telnet group tacacs+ local
aaa authentication login lokal local enable
aaa authorization config-commands
aaa authorization exec default group tacacs+ local 
aaa authorization exec telnet group tacacs+ 
aaa authorization commands 1 default group tacacs+ local 
aaa authorization commands 15 default group tacacs+ local 
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+

Ma con questo, non posso permettere specificatamente all'utente di config-se non gli permetto di configurarlo anche al router (config).

Il mio scenario è possibile usando TACACS +?

    
posta shiro 06.03.2013 - 15:50
fonte

1 risposta

0

Sono sicuro che ci sia un cimelio per questo, ma cosa posso ricordare dai miei giorni come nuovo ragazzo, che i privilegi sono basati sulla sensibilità del comando e non sul lato portuale. Quale comando viene eseguito è dove definisci il controllo.  È logico che quando l'utente x configura l'IP o la velocità dell'interfaccia e fa lo stesso per 100 interfacce, è lo stesso livello di affidabilità.

Come per la config-if funziona in modo ereditario automaticamente eredita tutti i privilegi per il livello di configurazione.

 default service = deny
 cmd = interface { permit [faFAgiGI].* }

Ciò farebbe sì che gli utenti abbiano accesso al problema "interfaccia Gi. " o "interfaccia Fa. ". Non voglio che abbiano la possibilità di emettere "interfaccia Te. *".

    
risposta data 06.03.2013 - 16:13
fonte

Leggi altre domande sui tag