Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1132 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Authorization and Privilege Levels -help

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Authorization and Privilege Levels -help

n°48828
dex51
Posté le 28-01-2009 à 14:07:52  profilanswer
 

Bonjour a tous,
 
On m'a chargé de mettre en place un looking glass (LG) dans ma boite (ou je suis en stage), et je rencontre un soucis au niveau des authorisations.
En effet les routeurs ont été configuré pour que seulement en mode "enable" on puisse executer des commandes... donc impossible de faire de ping/traceroute/BGP.. sans passer par le mode enable et je me vois mal autoriser mon serveur LG a utiliser le mode enable...
 
donc j'ai cherché un peu et le problème serait a ce niveau je pense : (dans la conf des routeurs)
 
aaa authentication enable default enable
aaa authentication login default tacacs+ local
aaa authorization exec default tacacs+ none
aaa accounting commands 0 default start-stop tacacs+
aaa accounting exec default start-stop tacacs+
aaa accounting system default start-stop tacacs+
 
Une idée sur la modif a ajouter pour qu'un compte X puisse executer des commandes basiques ?
 
Ensuite j'hesite a utiliser un compte local ou un compte sur le tacas+ en read only, qu'en pensez vous ? (la connection entre le serveur LG et les routeurs sera en ssh)
(Read Only level - Allows access to the Privileged EXEC mode and CONFIG mode but only with read access)
 
merci


Message édité par dex51 le 28-01-2009 à 14:33:36
mood
Publicité
Posté le 28-01-2009 à 14:07:52  profilanswer
 

n°48891
dex51
Posté le 29-01-2009 à 12:13:48  profilanswer
 

j'ai pu résoudre mon problème comme ceci :
en configurant le compte dans TACACS sans toucher aux aaa.
 
user = lookingglass {
login = *******************
name = "looking glass"
service= exec { priv-lvl = 1 }
cmd = show
{
permit "ip"
deny .*
}
cmd = traceroute { permit .* }
cmd = ping { permit .* }
cmd = exit { permit .* }
}
 
mais le problème c'est que je n'arrive pas a restrictionner le compte a n'utiliser que show ip... j'ai acces a tous les show malgres le deny .*
 
autre question, comment bloquer l'utilisateur a utiliser la commande enable ?
 
merci


Message édité par dex51 le 29-01-2009 à 12:14:13
n°48956
dex51
Posté le 30-01-2009 à 15:49:21  profilanswer
 

up)
faut il rajouter dans la conf des routeurs  :
 
Command authorization (TACACS+) ->
aaa authorization commands <privilege> default <method>
 
soit :
aaa authorization commands 1 default tacacs+ local
 
une petite reponse ??
 
merci


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Authorization and Privilege Levels -help

 

Sujets relatifs
[HELP] Qui consomme toute la BP ?Help sur configuration cisco 2811
Outil help desk - apercu du sujetProblème de contrat sur de la téléphonie fixe HELP
probleme avec internet help !!!!Help ! Impossible de contacter un serveur sur le port 80
Cisco IP Phone 7940 - Config SIP indépendante HELPHELP/ connexion à un switch cisco (console) via cable DB9/RJ45
Probleme après changement de SID, perte de session HELPEnigme réseau... HELP !
Plus de sujets relatifs à : Authorization and Privilege Levels -help


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR