Attualmente sto distribuendo TACACS + con un dispositivo Cisco, utilizzo un server TACACS da qui: link
Il mio scenario è: voglio consentire a un utente di configurare il mio router ma solo per un'interfaccia specifica, cioè per gigabitethernet0 / 0. Dopo essere arrivato al router (config-if) # l'utente può fare quello che vuole con quell'interfaccia, ma non può cambiare ad un'altra interfaccia né modificare la configurazione nel router (config) #.
Finora la mia configurazione in tac_plus.conf è così:
#limited admin group = limitedadmin {
default service = deny
service = shell {
priv-lvl = 15
}
cmd = configure {
permit terminal
}
cmd = interface {
permit "GigabitEthernet 0/0"
}}
E questa è la configurazione di Cisco:
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login telnet group tacacs+ local
aaa authentication login lokal local enable
aaa authorization config-commands
aaa authorization exec default group tacacs+ local
aaa authorization exec telnet group tacacs+
aaa authorization commands 1 default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
Ma con questo, non posso permettere specificatamente all'utente di config-se non gli permetto di configurarlo anche al router (config).
Il mio scenario è possibile usando TACACS +?