Замечательный цикл статей. Спасибо, что взялись за такой не легкий труд по их созданию.
Правда, есть несколько пожеланий (или дополнений), так как вы рассматриваете построение сети на примере оборудования cisco, то неплохо было бы отметить: коварные особенности native vlan на транковых портах и проблемы при его несовпадении; практику помещать все неиспользуемые порты в специально созданный влан (запрещенный к передаче на транках); крайне полезную практику всегда, даже если очень не хочется, но если есть возможность, создавать management vlan. С нетерпением ждем продолжения!
С помощью freeradius все таки можно авторизовывать команды Freeradius Command Authorization, но довольно сложным образом. Command Authorization
Cisco claims that there is a complete mapping scheme to translate TACACS+ expressions into Cisco-AVPair Vendor-Specific. This works for example with the priv-lvl attribute:
cisco-avpair = "shell:priv-lvl=15"
The two TACACS+ attributes "cmd" and "cmd-arg" would be needed for command authorization.There is a web page for Cisco IOS detailing which TACACS+ commands exist, and it suggests that
cisco-avpair = "shell:cmd=show"
would do the trick to authorize the "show" command. EXCEPT that there is a tiny note for the commands "cmd" and "cmd-arg" saying that they cannot be used for encapsulation in the Vendor-Specific space.
These two are the ONLY ones. Since it's just about parsing the string content of cisco-avpair at the router side, there is absolutely no technical reason why these two wouldn't go through. The only explanation then is that this is a deliberate step by Cisco to make sure that TACACS+ is "superior" to RADIUS by arbitrarily cutting down functionality.
Вы правы, с помощью radius'а только уровень привилегий. Он не поддерживает command authorization. Это моя ошибка, писал по памяти и она подвела, исправлю. Но совершенно точно помнится, что скорость аутентификации под radius'ом была выше.
За ссылку спасибо.
Правда, есть несколько пожеланий (или дополнений), так как вы рассматриваете построение сети на примере оборудования cisco, то неплохо было бы отметить: коварные особенности native vlan на транковых портах и проблемы при его несовпадении; практику помещать все неиспользуемые порты в специально созданный влан (запрещенный к передаче на транках); крайне полезную практику всегда, даже если очень не хочется, но если есть возможность, создавать management vlan. С нетерпением ждем продолжения!
url-regex client=DynGateCommand Authorization
Cisco claims that there is a complete mapping scheme to translate TACACS+ expressions into Cisco-AVPair Vendor-Specific. This works for example with the priv-lvl attribute:
cisco-avpair = "shell:priv-lvl=15"
The two TACACS+ attributes "cmd" and "cmd-arg" would be needed for command authorization.There is a web page for Cisco IOS detailing which TACACS+ commands exist, and it suggests that
cisco-avpair = "shell:cmd=show"
would do the trick to authorize the "show" command. EXCEPT that there is a tiny note for the commands "cmd" and "cmd-arg" saying that they cannot be used for encapsulation in the Vendor-Specific space.
These two are the ONLY ones. Since it's just about parsing the string content of cisco-avpair at the router side, there is absolutely no technical reason why these two wouldn't go through. The only explanation then is that this is a deliberate step by Cisco to make sure that TACACS+ is "superior" to RADIUS by arbitrarily cutting down functionality.
За ссылку спасибо.