Tacacs+ для сетевого оборудования Eltex + RedOS

[jhoag]

Вариант RADIUS + MS - нельзя.

Но ведь серверы Windows поддерживают RADIUS.

Найти бесплатное либо OpenSource решение

TACACS проприетарный и, полагаю, небесплатный. Нет?

[Eugene_Kaig]

Серверы Windows - да, поддерживают. Но если их нет?

TACACS+ проприетарный, но есть бесплатные реализации (https://community.cisco.com/t5/network-management/is-tacacs-free/td-p/1440583).

[jhoag]

Если их нет, RADIUS выглядит ещё более очевидным вариантом. Хочу понять, почему не вышло настроить его в связке с Eltex.

[Eugene_Kaig]

Про RADIUS - если MS использовать нельзя - то RADIUS - только в реализации FreeRADIUS и т.п.

Не взлетал нормально в наших реалиях., т.е. FreeRADIUS я поднял, настроил в связке c Eltex, но добиться внятной и четкой работы - не смог, а при связке с SAMBA - там хватало отдельных глюков. Хотя мб мне просто не хватило времени допилить схему.

[Johan_Palych]

Почему не использовать репо с tac_plus-4.0.4.26-1.el7.nux.x86_64.rpm - 2017-06-15 10:32,
а не tac_plus-4.0.4.26-1.el6.nux.x86_64.rpm - 2012-10-11 14:26
http://mirrors.coreix.net/li.nux.ro/nux/misc/el7/x86_64/tac_plus-4.0.4.26-1.el7.nux.x86_64.rpm
Добавить одной командой:

cat <<EOF | sudo tee /etc/yum.repos.d/nux-misc.repo
[nux-misc]
name=Nux Misc
baseurl=http://li.nux.ro/download/nux/misc/el7/x86_64/
enabled=1
gpgcheck=1
gpgkey=http://li.nux.ro/download/nux/RPM-GPG-KEY-nux.ro
EOF

Почитать:Версии РЕД ОС и сроки поддержки
https://redos.red-soft.ru/base/update/version-and-term/?nocache=1739368083436

[Eugene_Kaig]

Как вариант, проверю. Спасибо.

[algerka]

Вместо нативного tacacs+, из бесплатного, использую https://tacacsgui.com/. Просто, наглядно, удобно. С Элтексом полноценный AAA работает нормально, на сколько это может быть в Элтексе.
Кстати, на MES5332A (и во всех аналогичных моделях) столкнулись с одним багом с авторизацией, в которой при недоступности tacacs вы можете аутентифицироваться (залогиниться получается под локальной УЗ) но не можете выполнить ни одной команды, в результате полная потеря управления оборудованием. Техподдержка Элтекса, как обычно, обещала исправить в следующих версиях. На словах обещали в марте 2025.

А пока пришлось не использовать авторизацию на Элтексе :(

[Eugene_Kaig]

Надо попробовать, спасибо! Главное чтобы Eltex - делал прошивки как обещает. Мне как то тестовую специально запиливали под один баг. Запилили.

[gserge]

Спасибо за статью! Tacacs+ вызывает у меня приступы ностальгии. Мы использовали его лет 20 назад для нашего самописного диалап-биллинга.

[hogstaberg]

Вариант Freeradius + Eltex - не удалось настроить в наших реалиях. 

А я бы с удовольствием почитал кулстори. Freeradius у меня лично, пожалуй, возглавляет топ софта в категории "блеск нищеты". До сих аор поражаюсь тому, как что-то может быть настолько шедевральным и всратым одновременно.

[Eugene_Kaig]

Это точно. С одной стороны классный продукт., а с другой такое унылое... Напишу. Только неизвестно когда. Времени всегда не хватает.

[tortor]

Вариант Freeradius + Eltex - не удалось настроить в наших реалиях. 

Ладно бы не удалось и не удалось, может, навыков недостает или не очень-то и хотелось - что же, бывает. А может баг какой - поделились бы опытом. Но добавка "в наших реалиях" делает фразу комичной - оказывается "реалии" виноваты.

[Eugene_Kaig]

Реалии не причем. Не удалось - т.к. не работало как нужно. Т.е. работало - но не до конца., на свитчах в целом работало, но были вопросы. с SAMBA вообще вязалось через раз. Блуждающие глюки. Но, возможно, действительно не хватило опыта.

[stasische]

Недавно элтексовсцы запилили TACACS+ в свой NAICE. Не пробовали еще?

[Eugene_Kaig]

Пока не пробовали, при случае - возможно.

[Eugene_Kaig]

Попробовал(уже в другой компании), абсолютно рабочий продукт. Со своими нюансами, но работает. Связку eltex+naice+redadm(samba) - в тестовой среде отладил. Не все просто с разграничением прав и привилегий - но в целом продукт очень неплох. Дороговат только, но это "здравствуй новый мир"