Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 28
del
Похоже, что вы переизобретаете NOC Project :-)
А так хотелось self-hosted фронт-энд для управленя tac_plus. Эх.
А так хотелось self-hosted фронт-энд для управленя tac_plus. Эх.
Ничего не знал про NOC до этого дня. Действительно мощная штука. Но мой проект это и есть «self-hosted фронт-энд для управленя tac_plus», пусть не с полным функционалом (нет поддержки LDAP, PPP авторизации и т.п.), но с функцией авторизации пользователей и аккаунтингом эта штука справляется.
Вероятно, найдутся еще похожие проекты, я не против. Очень часто друзья и знакомые разворачивают мои идеи фразой: «ты делаешь велосипед». Так вот, теперь мое мнение такое — пусть даже это «велосипед», но в первую очередь это опыт для меня, и, может быть, я очень на это надеюсь, что «вот это» кому-нибудь пригодится.
Но мне очень интересно, что имеенно вы хотели бы видеть в «self-hosted фронт-энд для управленя tac_plus»?
Вероятно, найдутся еще похожие проекты, я не против. Очень часто друзья и знакомые разворачивают мои идеи фразой: «ты делаешь велосипед». Так вот, теперь мое мнение такое — пусть даже это «велосипед», но в первую очередь это опыт для меня, и, может быть, я очень на это надеюсь, что «вот это» кому-нибудь пригодится.
Но мне очень интересно, что имеенно вы хотели бы видеть в «self-hosted фронт-энд для управленя tac_plus»?
Почему пароли и ключи принимает только цифробуквенные? На устройствах Cisco поддерживается ввод специальных символов в ключе tacacs+ и паролях пользователей
Уж очень узкоспециализированное направление. Я не проводил исследований и возможно ошибаюсь, но на мой взгляд, подавляющее большинство сетевых устройств не нуждается в гибком администрировании локальной базы пользователей, так как ими управляют 2-3 человека от силы.
Мы ушли от реализации tacacs или radius для работа с локальными устройствами. Сейчас пушим через Conf Manager локальные учетки на устройства с необходимыми привелегиями. Если учетка скомпроментировала себя — так же удаляем через Conf Manager.
P.S. Да я понимаю, что есть оборудование операторов связи, к которому могут иметь доступ десятки людей, но это еденичные случаи. А для тех.поддержки первого уровня есть общая учетка с правами «посмотреть состояние интерфейсов», но и этот подход мы стараемся не практиковать.
Мы ушли от реализации tacacs или radius для работа с локальными устройствами. Сейчас пушим через Conf Manager локальные учетки на устройства с необходимыми привелегиями. Если учетка скомпроментировала себя — так же удаляем через Conf Manager.
P.S. Да я понимаю, что есть оборудование операторов связи, к которому могут иметь доступ десятки людей, но это еденичные случаи. А для тех.поддержки первого уровня есть общая учетка с правами «посмотреть состояние интерфейсов», но и этот подход мы стараемся не практиковать.
Согласен с вами, это действительно узкоспециализированное направление. К счастью, этот проект не должен меня прокармливать. Была задача реализовать графическую настройку демона tacacs и добавить запланированные плюшки. Задачу я выполнил, но еще есть над чем поработать и решил поделиться своим проектом. Мы уже посмеялись с друзьями, что этот проект «убийца ACS». Я не делаю большие ставки на этот проект, мне просто хотелось сделать что-то красивое и удобное.
случайно наткнулся. И сразу понравилось. Буду тестировать. Надеюсь подойдет " под меня"
Имею на «Хозяйстве» 260 Cisco, с десяток Broadcom и под сотню Huawei Switch. «Хозяйство » очень динамичное, за месяц по несколько раз приходится по Switch-м «лазить».
Мне очень понравился Reporting, как раз «под меня». Мне важно быстро и просто прослеживать КТО / КОГДА / КАК Switch запорол. В политики Cisco ISE я своих техников не пускаю, вот они и приучились порты auth open открывать. Надо конечно иногда, вот только закрывать забывают.
@ Автору, я сегодня зарегистрировался. Мой рабочий e-mail — в регистрации
Имею на «Хозяйстве» 260 Cisco, с десяток Broadcom и под сотню Huawei Switch. «Хозяйство » очень динамичное, за месяц по несколько раз приходится по Switch-м «лазить».
Мне очень понравился Reporting, как раз «под меня». Мне важно быстро и просто прослеживать КТО / КОГДА / КАК Switch запорол. В политики Cisco ISE я своих техников не пускаю, вот они и приучились порты auth open открывать. Надо конечно иногда, вот только закрывать забывают.
@ Автору, я сегодня зарегистрировался. Мой рабочий e-mail — в регистрации
Первый опыт, " с лёту, не обдумавши".
Поднял сервер, добавил тестовый switch C-2960 в Device, сделал User.
Что-то пошло с User.-ом не так. Auth не проходит.
И тут понял, что и под локальным User-ом на Cisco не зайду. тестовый switch ждет ответа от сервера.
Пришлось останавливать сервер и чистить config на Cisco.
Поспешил так. Не подумал. Буду осторожнее.тем
пс. заранее извиняюсь за кривой язык. хотя русский и родной, но вот IT темы как-то так…
Поднял сервер, добавил тестовый switch C-2960 в Device, сделал User.
Что-то пошло с User.-ом не так. Auth не проходит.
И тут понял, что и под локальным User-ом на Cisco не зайду. тестовый switch ждет ответа от сервера.
Пришлось останавливать сервер и чистить config на Cisco.
Поспешил так. Не подумал. Буду осторожнее.тем
пс. заранее извиняюсь за кривой язык. хотя русский и родной, но вот IT темы как-то так…
Запускаю в продуктив. lan-meister.blogspot.com/2018/11/tacacsgui.html#more
Вопрос автору:
Your api version: 0.9.47
Last availabel version: 0.9.55
tacacsgui.com/updates
Re-Installation Required! Новая инсталяция нужна?
Your api version: 0.9.47
Last availabel version: 0.9.55
tacacsgui.com/updates
Re-Installation Required! Новая инсталяция нужна?
Понятно, после Нового Года обновлюсь. Ежедневный Veeam Backup — моя защита.
LDAP я не использую. Меня версия 0.9.47 устраивает. Сотню Cisco Device уже поставил под tacacs, полет нормальный, а я довольный.
Интересный вопрос был задан в моем блоге: lan-meister.blogspot.com/2018/11/tacacsgui.html#more
LDAP я не использую. Меня версия 0.9.47 устраивает. Сотню Cisco Device уже поставил под tacacs, полет нормальный, а я довольный.
Интересный вопрос был задан в моем блоге: lan-meister.blogspot.com/2018/11/tacacsgui.html#more
наконец-то запустил Network Configuration Manager, который постоянно должен читать / писать Switch. User для NCM сделаю на tacacs. И безопасник не будет нервы трепать и отключить мгновенно можно.
По-моему хорошая связка получается tacacs / NCM
По-моему хорошая связка получается tacacs / NCM
Под нагрузкой.
первые 167 Cisco С-2960 работают «под контролем » TacacsGUI. В продуктиве используется Network Configuration Manager ( NCM ). Облегчающий жизнь «автомат». Его основная задача — собирать и сохранять конфиги Cisco. Для этого в TacacsGUI создан User для NCM, который и заходит на Cisco, читает и интентаризирует конфиги. Job инвентаризации запускается раз в сутки. И вот тогда TacacsGUI начинает «потеть».
Графики нагрузки
первые 167 Cisco С-2960 работают «под контролем » TacacsGUI. В продуктиве используется Network Configuration Manager ( NCM ). Облегчающий жизнь «автомат». Его основная задача — собирать и сохранять конфиги Cisco. Для этого в TacacsGUI создан User для NCM, который и заходит на Cisco, читает и интентаризирует конфиги. Job инвентаризации запускается раз в сутки. И вот тогда TacacsGUI начинает «потеть».
Графики нагрузки
Добрый день!
Ну что тут сказать, оптимизации проекта предела нет. Скорее всего запросы идут в течении нескольких секунд, в данный выполняется много задач — проходит аутентификация, пишется лог в файл, в базу, это нагружает процессор. Я вернусь к этому вопросу, если у меня найдутся средства для тестов :)
Ну что тут сказать, оптимизации проекта предела нет. Скорее всего запросы идут в течении нескольких секунд, в данный выполняется много задач — проходит аутентификация, пишется лог в файл, в базу, это нагружает процессор. Я вернусь к этому вопросу, если у меня найдутся средства для тестов :)
Увидел на обновленной странице проекта Supported Devices — Huawei. Удивлен. Huawei и Tacacs? Это интересно. У меня на хозяйстве развернута отдельная инфраструктура Huawei WiFi (будь она неладна). С сотню различных Huawei Switch, несколько WiFi Controller.
Я сам в конфиги Huawei не сильно, китайцы ( чтоб им икалось ) делали. Но попробывать можно. Какие Huawei Switch поддерживаются?
Я сам в конфиги Huawei не сильно, китайцы ( чтоб им икалось ) делали. Но попробывать можно. Какие Huawei Switch поддерживаются?
Я вычитал, что некоторые Huawei коммутаторы поддерживаются и настройка tacacs сервера аналогична Cisco, а вот настройка самих девайсов отличается, нужно читать мануал. У меня под рукой такого нет, так что если будут примеры конфигурации, буду им рад.
" Не прошло и полгода " :)
отлично работает Huawei и Tacacs. Наконец то дошли руки.
Проверено на Huawei Switch: S5700-28P-PWR-LI-AC, S5700-28C-EI-24S,
S6700-24-EI
hwtacacs-server template server-tacacs
hwtacacs-server authentication 10.xx.xx.xx
hwtacacs-server authorization 10.xx.xx.xx
hwtacacs-server accounting 10.xx.xx.xx
hwtacacs-server shared-key cipher secret
ssh authentication-type default password
aaa
authentication-scheme default
authentication-mode local hwtacacs
authorization-scheme default
authorization-mode local hwtacacs
authorization-cmd 15 local hwtacacs
accounting-scheme default
accounting-mode hwtacacs
accounting start-fail online
domain default
authorization-scheme default
hwtacacs-server server-tacacs
domain default_admin
authorization-scheme default
hwtacacs-server server-tacacs
спасибо авторам.
отлично работает Huawei и Tacacs. Наконец то дошли руки.
Проверено на Huawei Switch: S5700-28P-PWR-LI-AC, S5700-28C-EI-24S,
S6700-24-EI
hwtacacs-server template server-tacacs
hwtacacs-server authentication 10.xx.xx.xx
hwtacacs-server authorization 10.xx.xx.xx
hwtacacs-server accounting 10.xx.xx.xx
hwtacacs-server shared-key cipher secret
ssh authentication-type default password
aaa
authentication-scheme default
authentication-mode local hwtacacs
authorization-scheme default
authorization-mode local hwtacacs
authorization-cmd 15 local hwtacacs
accounting-scheme default
accounting-mode hwtacacs
accounting start-fail online
domain default
authorization-scheme default
hwtacacs-server server-tacacs
domain default_admin
authorization-scheme default
hwtacacs-server server-tacacs
спасибо авторам.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Графический интерфейс к демону tacacs — TacacsGUI