https://slinkov.ru/openforum/vsluhforumID6/1168.html Всех с наступившим новым годом. Возник у меня такой вопрос: как более гибко выполнить привязку оборудования juniper к tacacs+?<br><br>Сейчас, на каждом джунике у меня создано что-то вроде:<br>[code]<br> user remote-read-only { <br> full-name "User template for remote read-only";<br> uid 2014;<br> class read-only;<br> }<br> user remote-super-users {<br> full-name "User template for remote super-users";<br> uid 2013;<br> class super-user;<br> }<br><br>[/code]<br><br>Но в ситуации, когда я захочу дать кому-либо частичные права на изменение конфигурации, мне придется на всех джуниках создать класс пользователей и указать команды которые разрешены этому классу. А если я захочу их изменить? Согласитесь, это не очень удобно...<br><br>Я уверен, что средствами самого tacacs+ можно решить эту проблему, хотя я и не нашел как. Все что в открытом доступе на сайте "juniper.com", умалчивает о такой возможности. А поддержку нам так и не купили.<br><br>Возможно, кто- https://slinkov.ru/openforum/vsluhforumID6/1168.html#8 Mon, 06 Jan 2014 01:47:22 GMT Спасибо, вроде разобрался.<br><br>&gt;[оверквотинг удален]<br>&gt;&gt; пользователи не заведены локально.<br>&gt; Покажите конфиг tac_plus сервера и Вашего джунипера.<br>&gt; http://kb.juniper.net/InfoCenter/index?page=content&id=KB17269 <br>&gt; https://webcache.googleusercontent.com/search?q=cache:oM3akhDNhZIJ:http://www.juniper.net/techpubs/en_US/junose14.3/topics/concept/tacacs+-understanding.html+juniper+AAA+tacacs++priv-level&hl=en-RU&biw=&bih=&gbv=1&ct=clnk <br>&gt; Из полезных на первый взгляд ссылок, если еще не читали.<br>&gt; В частности, раздел "Map the local user template to the TACACS+ user <br>&gt; accounts (optional):" <br>&gt; Похож на то, что нужно + после него прописать регэкспы на стороне <br>&gt; tac_plus сервера.<br>&gt; Кстати, Вы так и не ответили, какую реализацию tacacs+ протокола Вы используете. <br><br> https://slinkov.ru/openforum/vsluhforumID6/1168.html#7 Sun, 05 Jan 2014 20:15:45 GMT &gt; Локально указывается класс пользователя и права, по другому - никак. А сами <br>&gt; пользователи не заведены локально.<br><br>Покажите конфиг tac_plus сервера и Вашего джунипера.<br><br>http://kb.juniper.net/InfoCenter/index?page=content&id=KB17269<br>https://webcache.googleusercontent.com/search?q=cache:oM3akhDNhZIJ:http://www.juniper.net/techpubs/en_US/junose14.3/topics/concept/tacacs+-understanding.html+juniper+AAA+tacacs++priv-level&hl=en-RU&biw=&bih=&gbv=1&ct=clnk<br><br>Из полезных на первый взгляд ссылок, если еще не читали.<br><br>В частности, раздел "Map the local user template to the TACACS+ user accounts (optional):"<br>Похож на то, что нужно + после него прописать регэкспы на стороне tac_plus сервера.<br><br>Кстати, Вы так и не ответили, какую реализацию tacacs+ протокола Вы используете.<br> https://slinkov.ru/openforum/vsluhforumID6/1168.html#6 Sun, 05 Jan 2014 11:37:59 GMT Локально указывается класс пользователя и права, по другому - никак. А сами пользователи не заведены локально.<br><br>&gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt; Из того, что нагуглилось сходу.<br>&gt;&gt;&gt;&gt;&gt; Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно <br>&gt;&gt;&gt;&gt;&gt; особых возникнуть.<br>&gt;&gt;&gt; Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions <br>&gt;&gt;&gt; on a RADIUS or TACACS+ Server to Allow or Deny Access <br>&gt;&gt;&gt; to Commands".<br>&gt; Значит, как-то не так настроено AAA, если приоритетом идет локальная БД пользователей, <br>&gt; а не tacacs+.<br>&gt; Обычно локальные пользователи идут fallback'ом в случае недоступности tacacs+ сервера <br>&gt; и указываются после настроек tacacs+.<br><br> https://slinkov.ru/openforum/vsluhforumID6/1168.html#5 Sun, 05 Jan 2014 10:25:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; реализовано, например, поэтому важно знать, какой сервер вы используете.<br>&gt;&gt;&gt;&gt; Оборудование cisco работает с этим (кажется, они этот сервер и писали, а <br>&gt;&gt;&gt;&gt; потом выложили в открытый доступ), juniper, по идее, тоже.<br>&gt;&gt;&gt;&gt; http://www.juniper.net/techpubs/en_US/junos13.2/topics/concept/authentication-regular-expressions-usage-allow-deny-command-overview.html <br>&gt;&gt;&gt;&gt; Из того, что нагуглилось сходу.<br>&gt;&gt;&gt;&gt; Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно <br>&gt;&gt;&gt;&gt; особых возникнуть.<br>&gt;&gt; Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions <br>&gt;&gt; on a RADIUS or TACACS+ Server to Allow or Deny Access <br>&gt;&gt; to Commands".<br><br>Значит, как-то не так настроено AAA, если приоритетом идет локальная БД пользователей, а не tacacs+.<br>Обычно локальные пользователи идут fallback'ом в случае недоступности tacacs+ сервера и указываются после настроек tacacs+.<br> https://slinkov.ru/openforum/vsluhforumID6/1168.html#4 Sun, 05 Jan 2014 09:42:18 GMT Да открыл, но без указания local-user-name даже не хочет авторизовываться. А при указании оного, регулярные выражения работать не будут.<br><br>&gt;[оверквотинг удален]<br>&gt;&gt;&gt; реализовано, например, поэтому важно знать, какой сервер вы используете.<br>&gt;&gt;&gt; Оборудование cisco работает с этим (кажется, они этот сервер и писали, а <br>&gt;&gt;&gt; потом выложили в открытый доступ), juniper, по идее, тоже.<br>&gt;&gt;&gt; http://www.juniper.net/techpubs/en_US/junos13.2/topics/concept/authentication-regular-expressions-usage-allow-deny-command-overview.html <br>&gt;&gt;&gt; Из того, что нагуглилось сходу.<br>&gt;&gt;&gt; Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно <br>&gt;&gt;&gt; особых возникнуть.<br>&gt; Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions <br>&gt; on a RADIUS or TACACS+ Server to Allow or Deny Access <br>&gt; to Commands".<br><br> https://slinkov.ru/openforum/vsluhforumID6/1168.html#3 Sun, 05 Jan 2014 08:25:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+.<br>&gt;&gt; В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации <br>&gt;&gt; по регулярному выражению. В других реализациях протокола это может быть не <br>&gt;&gt; реализовано, например, поэтому важно знать, какой сервер вы используете.<br>&gt;&gt; Оборудование cisco работает с этим (кажется, они этот сервер и писали, а <br>&gt;&gt; потом выложили в открытый доступ), juniper, по идее, тоже.<br>&gt;&gt; http://www.juniper.net/techpubs/en_US/junos13.2/topics/concept/authentication-regular-expressions-usage-allow-deny-command-overview.html <br>&gt;&gt; Из того, что нагуглилось сходу.<br>&gt;&gt; Документация к tac_plus тоже отлично написана (man tac_plus.conf), поэтому проблем не должно <br>&gt;&gt; особых возникнуть.<br><br>Может, как-то ссылку не так скопировали? У меня открывается "Using Regular Expressions on a RADIUS or TACACS+ Server to Allow or Deny Access to Commands".<br> https://slinkov.ru/openforum/vsluhforumID6/1168.html#2 Sat, 04 Jan 2014 12:00:35 GMT Эм... По ссылке<br>[code]<br>Not Found<br><br>The requested URL /techpubs/en_US/junos13.2/topics/concept/authentication-regular-expressions-usage-allow-deny-command-overview.html was not found on this server.<br><br>Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.<br>[/code]<br>&gt;[оверквотинг удален]<br>&gt; Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+. <br>&gt; В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации <br>&gt; по регулярному выражению. В других реализациях протокола это может быть не <br>&gt; реализовано, например, поэтому важно знать, какой сервер вы используете.<br>&gt; Оборудование cisco работает с этим (кажется, они этот сервер и писали, а <br>&gt; потом выложили в открытый доступ), juniper, по идее, тоже.<br>&gt; http://www.juniper.net/techpubs/en_US/junos13.2/topics/concept/authentication-regular-expressions-usage-allow-deny-command-overview.html <br>&gt; Из того, что нагуглилось сходу.<br>&gt; Документац https://slinkov.ru/openforum/vsluhforumID6/1168.html#1 Fri, 03 Jan 2014 13:09:53 GMT &gt;[оверквотинг удален]<br>&gt; Но в ситуации, когда я захочу дать кому-либо частичные права на изменение <br>&gt; конфигурации, мне придется на всех джуниках создать класс пользователей и указать <br>&gt; команды которые разрешены этому классу. А если я захочу их изменить? <br>&gt; Согласитесь, это не очень удобно...<br>&gt; Я уверен, что средствами самого tacacs+ можно решить эту проблему, хотя я <br>&gt; и не нашел как. Все что в открытом доступе на сайте <br>&gt; "juniper.com", умалчивает о такой возможности. А поддержку нам так и не <br>&gt; купили.<br>&gt; Возможно, кто-то занимался подобным вопросом? Прошу подсказать, как сделано у Вас.<br>&gt; Спасибо.<br><br>Доброго времени суток.<br>Сразу оговорюсь - juniper'ов у меня нет, поэтому насколько нижеследующее будет соответствовать Вашей ситуации, зависит от того, как разработчики junos реализовали поддержку tacacs+.<br>В tacacs-сервере tac_plus (который имеется в большинстве linux'ов) есть возможность авторизации по регулярному выражению. В других реализациях протокола это может быть не реализовано, например, по