К устройствам Arbor можно получить доступ как через веб-интерфейс, так и через CLI. Арбор, как и множество современных устройств, поддерживает как локальную базу пользователей с указанными правами, так и внешнюю базу с работой через tacacs+ или radius. Если создать пользователя в tacacs/radius-сервере, и не предпринять никаких действий, оставив все по умолчанию, то пользователь при подключении к Арбору помещается в группу по умолчанию - system_user, и ему доступны только show-команды. Для выдачи прав необходимо настроить дополнительные атрибуты, которые помогут при аутентификации поместить пользователя в нужную группу с нужными правами.
Из руководства по Арбору:
Defining TACACS+ service attributes For TACACS+ servers, you must define the service attribute for Pravail NSI. The entry in your configuration should be similar to the following example:
service = system {
system_group = system_admin(or system_analyst or system_user)
}
Defining RADIUS service attributesFor RADIUS servers, you must define the vendor specific attribute, System-Privilege-Level:
VENDOR Arbor 9694
ATTRIBUTE Arbor-Privilege-Level 1 string Arbor
You also must define the user accounts for the Pravail NSI user on the RADIUS server:
radadmin Auth-Type = Local,
Password = “xxxx”
Arbor-Privilege-Level = “system_admin (or system_analyst or system_user)”
Пример реализации настройки атрибутов для Cisco ACS (TACACS) ниже на скриншоте:
Комментариев нет:
Отправить комментарий