Комментарии 5
«Freeradius понравился всем (особенно отзывчивостью устройства при command authorization...»
Разве RADIUS поддерживает покомандную авторизацию? Я думал, там только уровень привилегий можно выставить пользователю.
Конфигурацию можно синхронизировать каким-нибудь drbd (если у вас линукс) или как-то так под фрёй.
Разве RADIUS поддерживает покомандную авторизацию? Я думал, там только уровень привилегий можно выставить пользователю.
Конфигурацию можно синхронизировать каким-нибудь drbd (если у вас линукс) или как-то так под фрёй.
Вы правы, с помощью radius'а только уровень привилегий. Он не поддерживает command authorization. Это моя ошибка, писал по памяти и она подвела, исправлю. Но совершенно точно помнится, что скорость аутентификации под radius'ом была выше.
За ссылку спасибо.
За ссылку спасибо.
С помощью freeradius все таки можно авторизовывать команды Freeradius Command Authorization, но довольно сложным образом.
Command Authorization
Cisco claims that there is a complete mapping scheme to translate TACACS+ expressions into Cisco-AVPair Vendor-Specific. This works for example with the priv-lvl attribute:
cisco-avpair = "shell:priv-lvl=15"
The two TACACS+ attributes "cmd" and "cmd-arg" would be needed for command authorization.There is a web page for Cisco IOS detailing which TACACS+ commands exist, and it suggests that
cisco-avpair = "shell:cmd=show"
would do the trick to authorize the "show" command. EXCEPT that there is a tiny note for the commands "cmd" and "cmd-arg" saying that they cannot be used for encapsulation in the Vendor-Specific space.
These two are the ONLY ones. Since it's just about parsing the string content of cisco-avpair at the router side, there is absolutely no technical reason why these two wouldn't go through. The only explanation then is that this is a deliberate step by Cisco to make sure that TACACS+ is "superior" to RADIUS by arbitrarily cutting down functionality.
Позволю себе добавить ссылку на мой идеологически связанный с текущим пост, не набравший в свое время баллов для «выхода в свет»:
habrahabr.ru/blogs/cisconetworks/53029/
habrahabr.ru/blogs/cisconetworks/53029/
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Настройка cisco aaa + tac_plus (tacacs+)