نمایش نتایج: از شماره 1 تا 13 از مجموع 13
سپاس ها 3سپاس
  • 2 توسط A.Yazdani
  • 1 توسط al1p0ur

موضوع: نحوه authorization در acs

  
  1. #1
    نام حقيقي: iman

    تازه وارد
    تاریخ عضویت
    May 2014
    محل سکونت
    tehran
    نوشته
    10
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1

    نحوه authorization در acs

    سلام خدمت دوستان
    چطور authorize رو در acs کانفیگ کنم.ممنون میشم راهنمایی کنید؟در مورد کانفیگ روتر هم موندم چرا باید level بعد از commandsوارد بشه مگر acs تعیین نمیکنه؟
    الان یک یوزر دارم که میخوام مشخص کنم فقط در مود enable وارد شه و یک سری کامند هایی که مشخص میکنم رو بتونه بزنه (زمانی که به روتر تلنت زده)؟
    authenticate هم ok هست.



    موضوعات مشابه:
    ویرایش توسط IMAN4k : 2014-12-12 در ساعت 05:36 PM





  2. #2
    نام حقيقي: احمد یزدانی (Poker)

    عضو ویژه شناسه تصویری A.Yazdani
    تاریخ عضویت
    Aug 2010
    محل سکونت
    Isfahan
    نوشته
    946
    سپاسگزاری شده
    1310
    سپاسگزاری کرده
    421
    نوشته های وبلاگ
    8
    ببینید اینکه یک کاربر بتونه چه دستوراتی رو در دیوایس وارد کنه رو ACS مشخص نمی کنه این کار رو Switch انجام میده .
    شما میتونید سطح دسترسی های مختلف در Switch داشته باشید مثلا سطح 2 یک سری کانفیگ بتونه انجام بده سطح 3 یک سری و . . . .
    بعد در ACS میرید و کاربری رو که ایجاد کردید رو عضو یکی از این level ها میکنید.

    برای قسمت دوم سوال شما :
    کاربر که سطح 2 داره بتونه کامند های زیر رو بزنه :
    کد:
    privilege exec level 2 show vlan
    privilege exec level 2 show vlan brief
    privilege exec level 2 copy running-config startup-config
    privilege exec level 2 sho run interface

    اگر قراره از local database خود Switch استفاده کنید باید به کاربر privilege بدین اگر هم قراره از ACS استفاده کنید کاربر رو باید عضو گروه 2 کنید.


    mavrick و f14f21 سپاسگزاری کرده‌اند.
    ? Know a Network joke

    ! I know one about UDP , but you might not get it

  3. #3
    نام حقيقي: iman

    تازه وارد
    تاریخ عضویت
    May 2014
    محل سکونت
    tehran
    نوشته
    10
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1
    نقل قول نوشته اصلی توسط A.Yazdani نمایش پست ها
    ببینید اینکه یک کاربر بتونه چه دستوراتی رو در دیوایس وارد کنه رو ACS مشخص نمی کنه این کار رو Switch انجام میده .
    شما میتونید سطح دسترسی های مختلف در Switch داشته باشید مثلا سطح 2 یک سری کانفیگ بتونه انجام بده سطح 3 یک سری و . . . .
    بعد در ACS میرید و کاربری رو که ایجاد کردید رو عضو یکی از این level ها میکنید.

    برای قسمت دوم سوال شما :
    کاربر که سطح 2 داره بتونه کامند های زیر رو بزنه :
    کد:
    privilege exec level 2 show vlan
    privilege exec level 2 show vlan brief
    privilege exec level 2 copy running-config startup-config
    privilege exec level 2 sho run interface

    اگر قراره از local database خود Switch استفاده کنید باید به کاربر privilege بدین اگر هم قراره از ACS استفاده کنید کاربر رو باید عضو گروه 2 کنید.

    دوست عزیز ممنون از توجهت
    من کانفیگ رو انجام دادم در روتر و در acs 5.2 یعنی internal user تعریف کردم Identity Groups هم تعریف کردم و یوزر ها رو عضو گروه ها کردم.Service Selection Rules هم ایجاد کردم shell profile و command set و..
    حالا موقع وارد کردن کامند پیغام command authorization failed رو میبینم.
    این کانفیگ روتر:
    aaa group server tacacs+ TAC-SERVER
    server 10.1.1.4
    !
    aaa authentication login default group TAC-SERVER
    aaa authorization config-commands
    aaa authorization exec default group TAC-SERVER if-authenticated
    aaa authorization commands 0 default group TAC-SERVER
    aaa authorization commands 1 default group TAC-SERVER
    aaa authorization commands 15 default group TAC-SERVER
    !
    این هم debug

    *Mar 1 05:59:37.354: AAA: parse name=tty226 idb type=-1 tty=-1
    *Mar 1 05:59:37.354: AAA: name=tty226 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=226 channel=0
    *Mar 1 05:59:37.354: AAA/MEMORY: create_user (0x65C5629C) user='help' ruser='R1' ds0=0 port='tty226' rem_addr='10.1.1.2' authen_type=ASCII service=NONE priv=0 initial_task_id='0', vrf= (id=0)
    *Mar 1 05:59:37.358: tty226 AAA/AUTHOR/CMD(1026714551): Port='tty226' list='' service=CMD
    *Mar 1 05:59:37.358: AAA/AUTHOR/CMD: tty226(1026714551) user='help'
    *Mar 1 05:59:37.358: tty226 AAA/AUTHOR/CMD(1026714551): send AV service=shell
    *Mar 1 05:59:37.358: tty226 AAA/AUTHOR/CMD(1026714551): send AV cmd=show
    *Mar 1 05:59:37.358: tty226 AAA/AUTHOR/CMD(1026714551): send AV cmd-arg=<cr>
    *Mar 1 05:59:37.362: tty226 AAA/AUTHOR/CMD(1026714551): found list "default"
    *Mar 1 05:59:37.362: tty226 AAA/AUTHOR/CMD(1026714551): Method=TAC-SERVER (tacacs+)
    *Mar 1 05:59:37.362: AAA/AUTHOR/TAC+: (1026714551): user=help
    *Mar 1 05:59:37.362: AAA/AUTHOR/TAC+: (1026714551): send AV service=shell
    *Mar 1 05:59:37.366: AAA/AUTHOR/TAC+: (1026714551): send AV cmd=show
    *Mar 1 05:59:37.366: AAA/AUTHOR/TAC+: (1026714551): send AV cmd-arg=<cr>
    *Mar 1 05:59:37.586: AAA/AUTHOR (1026714551): Post authorization status = FAIL
    *Mar 1 05:59:37.590: AAA/MEMORY: free_user (0x65C5629C) user='help' ruser='R1' port='tty226' rem_addr='10.1.1.2' authen_type=ASCII service=NONE priv=0 vrf= (id=0
    این هم لاگ acs
    http://bayanbox.ir/view/1785890615386806182/Capture.png

    دیگه نمیدونم چی کار کنم؟؟



  4. #4
    نام حقيقي: Ali

    عضو ویژه شناسه تصویری al1p0ur
    تاریخ عضویت
    Feb 2010
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2403
    سپاسگزاری کرده
    730
    شما به وسیله ACS میتونید مشخص کنید که چه کسی ، روی چه دستگاههایی چه دستوراتی رو اجرا کنه و لازم نیست روی سوئیچ کاری انجام بدید .
    زمانی که ارور command authorization failed رو روی سوئیچ دریافت میکنید به خاطره اینه که تنظیمات CommandSet توی ACS به درستی ست نشده .

    برای مسئله شما پیشنهاد من اینه که توسط CommandSet اجازه همه دستورات به جز Configure رو به کاربر بدید . اینجوری کاربر هیچ وقت نمیتونه وارد مد کانفیگ بشه .



  5. #5
    نام حقيقي: احمد یزدانی (Poker)

    عضو ویژه شناسه تصویری A.Yazdani
    تاریخ عضویت
    Aug 2010
    محل سکونت
    Isfahan
    نوشته
    946
    سپاسگزاری شده
    1310
    سپاسگزاری کرده
    421
    نوشته های وبلاگ
    8
    کاری که من شخصا اینجور مواقع انجام می دم اینه که روی Switch سطح دسترسی ها رو و اینکه به چه قسمت هایی دسترسی داشته باشند رو برای level های مختلف مشخص می کنم و بعد کاربرا رو در ACS ایجاد می کنم و عضو گروه مورد نظر می کنم.
    پیکر بندی برای ارتباط Switch با ACS هم به صورت زیر است :
    کد:
    aaa new-model
    aaa authentication login VTY group tacacs+ local
    aaa authorization exec VTY group tacacs+ local 
    
    !
    
    tacacs-server host 192.168.1.1
    
    !
    
    
    line vty 0 15
    
    
     authorization exec VTY
     logging synchronous
     login authentication VTY
    
    !



    ? Know a Network joke

    ! I know one about UDP , but you might not get it

  6. #6
    نام حقيقي: iman

    تازه وارد
    تاریخ عضویت
    May 2014
    محل سکونت
    tehran
    نوشته
    10
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1
    هدف من در این سناریو این هست که هیچ database و هیچ access policy به شکل لوکال نباشه.احتمال داره مشکل از باگ gns3 و یا vmware باشه.
    من چندین و چند بار طبق لاگ زیر کانفیگ acs و command set ها و shell profile هارو بررسی کردم.روتر هم که مشکلی نداره.
    document.pdf
    طبق عکس زیر هیچ کدوم از رول ها در authorization استفاده نمیشن(hit count 0) همه درخواست با دیفالت مچ میشن (hit count 32 ) که اونم permit هست.
    http://bayanbox.ir/view/2473460586511102539/01.png
    حالا چرا رو هیچ کدوم از رول ها ست نمیشه؟دیفالت هم که هست permit ولی باز کار نمیکنه ؟command set ها هم چیزی نداره که بخواد پیچیده باشه؟
    واقعا دیگه موندم







  7. #7
    نام حقيقي: Ali

    عضو ویژه شناسه تصویری al1p0ur
    تاریخ عضویت
    Feb 2010
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2403
    سپاسگزاری کرده
    730
    اصلا فلسفه استفاده از ACS تو شبکه ، مدیریت متمرکز دستگاههاست . اگه قرار باشه تنظیمات به صورت لوکال انجام بشه دیگه چه نیازی به ACS هست ؟!

    دوست عزیز مشکل شما رو عرض کردم چیه .
    بازم میگم

    1- با توجه به رولهات و اینکه تعداد Hit Count شون صفره ، معلومه که رولت رو درست ننوشتی . شما با استفاده از دکمه Customize ستونهای مورد نظر رو اضافه کن و طوری رول بنویس که کلاینت هنگام اتصال به سوئیچ در اون رول بیوفته . ضمنا چون رولت درست نیست ، کاربر تو رول دیفالت میوفته اما چون Command Set ای که تو دیفالت گذاشتی هم مشکل داره هیچ دستوری رو نمیتونی اجرا کنی .

    2- کامند ستی که به نام Admins Command Set ساختی مشکل داره و دستوراتش طوریه که کاربر نمیتونه چیزی رو اجرا کنه برای همین اون پیغام command authorization failed را میده .

    پیشنهاد میکنم از اول کانفیگ کنی و قدم به قدم مراحل را با دقت انجام بدی چون نه باگی وجود داره و نه کار پیچیده ایه .

    موفق باشید .


    A.Yazdani سپاسگزاری کرده است.

  8. #8
    نام حقيقي: iman

    تازه وارد
    تاریخ عضویت
    May 2014
    محل سکونت
    tehran
    نوشته
    10
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1
    ویرایش توسط IMAN4k : 2014-12-13 در ساعت 07:59 PM

  9. #9
    نام حقيقي: Ali

    عضو ویژه شناسه تصویری al1p0ur
    تاریخ عضویت
    Feb 2010
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2403
    سپاسگزاری کرده
    730
    عکس ها رو دیدم . مشکلی مشاهده نمیشه !
    1- ورژن ACS شما چنده ؟
    2- تغییراتی برای سطح دسترسی تو سوئیچ ندادید ؟ مثل پست 2 . اگه دادید اونارو حذف کنید و چک کنید
    3- اگه با 2 درست نشد ، یکبار ACS و روتر رو Reset Config کن و دوباره تنظیمات رو انجام بدید و چک کنید .



  10. #10
    نام حقيقي: iman

    تازه وارد
    تاریخ عضویت
    May 2014
    محل سکونت
    tehran
    نوشته
    10
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1
    نقل قول نوشته اصلی توسط al1p0ur نمایش پست ها
    عکس ها رو دیدم . مشکلی مشاهده نمیشه !
    1- ورژن ACS شما چنده ؟
    2- تغییراتی برای سطح دسترسی تو سوئیچ ندادید ؟ مثل پست 2 . اگه دادید اونارو حذف کنید و چک کنید
    3- اگه با 2 درست نشد ، یکبار ACS و روتر رو Reset Config کن و دوباره تنظیمات رو انجام بدید و چک کنید .
    ورژن 5.2 هستش (با اوبونتو 13.10 ک*رک رو انجام دادم)
    نه هیچ privilege داخل روتر کانفیگ نشده
    حقیقتش دومین بار کلا acs رو از vm پاک کردم دوباره نصب کردم کانفیگ هم از اول انجام دادم.(عکس ها برای بار دوم هست)

    aaa new-model
    !
    !
    aaa authentication login default group tacacs+
    aaa authentication login CONSOLE-LOGIN none
    aaa authorization config-commands
    aaa authorization exec default group tacacs+ if-authenticated
    aaa authorization commands 0 default group tacacs+
    aaa authorization commands 1 default group tacacs+
    aaa authorization commands 15 default group tacacs+
    !
    !
    tacacs-server host 10.1.1.4 key cisco@123
    !



    R1#
    *Mar 1 00:02:25.015: AAA/AUTHOR (0x3): Pick method list 'default'
    *Mar 1 00:02:25.099: AAA/AUTHOR/EXEC(00000003): processing AV cmd=
    *Mar 1 00:02:25.099: AAA/AUTHOR/EXEC(00000003): Authorization successful
    R1#


    R1#
    *Mar 1 00:03:31.003: AAA: parse name=tty226 idb type=-1 tty=-1
    *Mar 1 00:03:31.007: AAA: name=tty226 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=226 channel=0
    *Mar 1 00:03:31.007: AAA/MEMORY: create_user (0x65C54B98) user='admin' ruser='R1' ds0=0 port='tty226' rem_addr='10.1.1.2' authen_type=ASCII service=NONE priv=1 initial_task_id='0', vrf= (id=0)
    *Mar 1 00:03:31.011: tty226 AAA/AUTHOR/CMD(2934244665): Port='tty226' list='' service=CMD
    *Mar 1 00:03:31.011: AAA/AUTHOR/CMD: tty226(2934244665) user='admin'
    *Mar 1 00:03:31.011: tty226 AAA/AUTHOR/CMD(2934244665): send AV service=shell
    *Mar 1 00:03:31.011: tty226 AAA/AUTHOR/CMD(2934244665): send AV cmd=ping
    *Mar 1 00:03:31.011: tty226 AAA/AUTHOR/CMD(2934244665): send AV cmd-arg=10.1.1.4
    *Mar 1 00:03:31.015: tty226 AAA/AUTHOR/CMD(2934244665): send AV cmd-arg=<cr>
    *Mar 1 00:03:31.015: tty226 AAA/AUTHOR/CMD(2934244665): found list "default"
    *Mar 1 00:03:31.015: tty226 AAA/AUTHOR/CMD(2934244665): Method=tacacs+ (tacacs+)
    *Mar 1 00:03:31.015: AAA/AUTHOR/TAC+: (2934244665): user=admin
    *Mar 1 00:03:31.015: AAA/AUTHOR/TAC+: (2934244665): send AV service=shell
    *Mar 1 00:03:31.019: AAA/AUTHOR/TAC+: (2934244665): send AV cmd=ping
    *Mar 1 00:03:31.019: AAA/AUTHOR/TAC+: (2934244665): send AV cmd-arg=10.1.1.4
    *Mar 1 00:03:31.019: AAA/AUTHOR/TAC+: (2934244665): send AV cmd-arg=<cr>
    *Mar 1 00:03:31.247: AAA/AUTHOR (2934244665): Post authorization status = FAIL
    *Mar 1 00:03:31.247: AAA/MEMORY: free_user (0x65C54B98) user='admin' ruser='R1' port='tty226' rem_addr='10.1.1.2' authen_type=ASCII service=NONE priv=1 vrf= (id=0)
    R1#



  11. #11
    نام حقيقي: Ali

    عضو ویژه شناسه تصویری al1p0ur
    تاریخ عضویت
    Feb 2010
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2403
    سپاسگزاری کرده
    730
    دوست من این لینک رو خوندید ؟
    https://supportforums.cisco.com/disc...on-status-fail

    روی روترتون Enable Password ست کردید ؟



  12. #12
    نام حقيقي: iman

    تازه وارد
    تاریخ عضویت
    May 2014
    محل سکونت
    tehran
    نوشته
    10
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1
    بله با ست کردن enable secret مشکل برطرف شد.ممنون
    فقط الان یوزری که ادمین نیست(help) اجازه دسترسی به تمام کامند هارو داره؟







  13. #13
    نام حقيقي: iman

    تازه وارد
    تاریخ عضویت
    May 2014
    محل سکونت
    tehran
    نوشته
    10
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1
    مشکل دوم هم برطرف شد که max privilege گروه helpdesk برابر 15 بود که به 1 تغییر داده شد



کلمات کلیدی در جستجوها:

tacacs cmd auth یعنی چی؟

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •