نوشته اصلی توسط
A.Yazdani
ببینید اینکه یک کاربر بتونه چه دستوراتی رو در دیوایس وارد کنه رو ACS مشخص نمی کنه این کار رو Switch انجام میده .
شما میتونید سطح دسترسی های مختلف در Switch داشته باشید مثلا سطح 2 یک سری کانفیگ بتونه انجام بده سطح 3 یک سری و . . . .
بعد در ACS میرید و کاربری رو که ایجاد کردید رو عضو یکی از این level ها میکنید.
برای قسمت دوم سوال شما :
کاربر که سطح 2 داره بتونه کامند های زیر رو بزنه :
کد:
privilege exec level 2 show vlan
privilege exec level 2 show vlan brief
privilege exec level 2 copy running-config startup-config
privilege exec level 2 sho run interface
اگر قراره از local database خود Switch استفاده کنید باید به کاربر privilege بدین اگر هم قراره از ACS استفاده کنید کاربر رو باید عضو گروه 2 کنید.
دوست عزیز ممنون از توجهت
من کانفیگ رو انجام دادم در روتر و در acs 5.2 یعنی internal user تعریف کردم Identity Groups هم تعریف کردم و یوزر ها رو عضو گروه ها کردم.Service Selection Rules هم ایجاد کردم shell profile و command set و..
حالا موقع وارد کردن کامند پیغام command authorization failed رو میبینم.
این کانفیگ روتر:
aaa group server tacacs+ TAC-SERVER
server 10.1.1.4
!
aaa authentication login default group TAC-SERVER
aaa authorization config-commands
aaa authorization exec default group TAC-SERVER if-authenticated
aaa authorization commands 0 default group TAC-SERVER
aaa authorization commands 1 default group TAC-SERVER
aaa authorization commands 15 default group TAC-SERVER
!
این هم debug
*Mar 1 05:59:37.354: AAA: parse name=tty226 idb type=-1 tty=-1
*Mar 1 05:59:37.354: AAA: name=tty226 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=226 channel=0
*Mar 1 05:59:37.354: AAA/MEMORY: create_user (0x65C5629C) user='help' ruser='R1' ds0=0 port='tty226' rem_addr='10.1.1.2' authen_type=ASCII service=NONE priv=0 initial_task_id='0', vrf= (id=0)
*Mar 1 05:59:37.358: tty226 AAA/AUTHOR/CMD(1026714551): Port='tty226' list='' service=CMD
*Mar 1 05:59:37.358: AAA/AUTHOR/CMD: tty226(1026714551) user='help'
*Mar 1 05:59:37.358: tty226 AAA/AUTHOR/CMD(1026714551): send AV service=shell
*Mar 1 05:59:37.358: tty226 AAA/AUTHOR/CMD(1026714551): send AV cmd=show
*Mar 1 05:59:37.358: tty226 AAA/AUTHOR/CMD(1026714551): send AV cmd-arg=<cr>
*Mar 1 05:59:37.362: tty226 AAA/AUTHOR/CMD(1026714551): found list "default"
*Mar 1 05:59:37.362: tty226 AAA/AUTHOR/CMD(1026714551): Method=TAC-SERVER (tacacs+)
*Mar 1 05:59:37.362: AAA/AUTHOR/TAC+: (1026714551): user=help
*Mar 1 05:59:37.362: AAA/AUTHOR/TAC+: (1026714551): send AV service=shell
*Mar 1 05:59:37.366: AAA/AUTHOR/TAC+: (1026714551): send AV cmd=show
*Mar 1 05:59:37.366: AAA/AUTHOR/TAC+: (1026714551): send AV cmd-arg=<cr>
*Mar 1 05:59:37.586: AAA/AUTHOR (1026714551): Post authorization status = FAIL
*Mar 1 05:59:37.590: AAA/MEMORY: free_user (0x65C5629C) user='help' ruser='R1' port='tty226' rem_addr='10.1.1.2' authen_type=ASCII service=NONE priv=0 vrf= (id=0
این هم لاگ acs
http://bayanbox.ir/view/1785890615386806182/Capture.png
دیگه نمیدونم چی کار کنم؟؟