Comments 7
Спасибо за статью, то что нужно!
Еще хотелось бы увидеть продолжение, в котором бы описывался принцип настройки Downloadable ACLs
Дошли руки собрать лабу.
Все «ок», за исключением того, что все пользователи из АД могут залогиниться на устройства с уровнем привилегий 1. И только пользователи из указанной группы имеют уровень привилегий 15. Нашел документ на циско.ком аналогичный этому топику — в нем все шаги совпадают.
Я что-то сделал не так, или нужно как-то ограничивать возможность логиниться на устройства пользователей, которые не состоят в «интересных» группах?
Прошу прощения, вопрос можно считать снятым. Дело в том, что есть стандартное правило, согласно которого если не одно из сконфигурированных правил не подходит Shell Profile был Permit Access, а вот Command Sets — Denny all Commands.
Соответственно в Shell Profile выбираем DenyAccess и проблема решена.
Думаю стоит уточнить это в статье, т.к. еще кто-то может наступить на эти грабли.
Подскажите плиз, захожу в Command set и вижу Permit any command that is not in the table… Правильно ли я понял, что вы сняли эту галку?
Пример настройки Juniper SRX:

set system authentication-order tacplus
set system tacplus-server 10.10.10.1 secret «key»
set system tacplus-server 10.10.10.1 source-address 192.168.1.1
set system accounting events login
set system accounting events change-log
set system accounting events interactive-commands
set system accounting destination tacplus
set system login user REMOTE_SU full-name «Tacacs+ template for remote SU access»
set system login user REMOTE_SU class super-user

Далее в Shell Profiles создаем профиль JuniperFullAccess в Custom Attributes которого создаем атрибут с именем local-user-name и значением — имя шаблона профиля пользователя (в моем примере — REMOTE_SU).
Теперь идем в Access Policies и в меню Authorization создаем соответствующее правило, согласно которого всем авторизовавшимся на девайсах Juniper применяется соответствующий Shell Profile.
Only those users with full accounts are able to leave comments. Log in, please.