Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Перейти в раздел Пользователи и устройства → Управление идентификацией → Группы пользователей сети, нажать на кнопку Image Removed Image Added.


В открывшемся меню добавить группу с названием "Администраторы TACACS" и нажать кнопку "Добавить".

...

Перейти в раздел Пользователи и устройства → Управление идентификацией → Пользователи сети, нажать на кнопку Image Removed Image Added.

В открывшемся окне добавить пользователя, указав логин и пароль (требования к длине пароля не менее 12-ти символов).

...

Перейти в раздел Пользователи и устройства → Сетевые ресурсы → Устройства. Создать или отредактировать существующее сетевое устройство, указав пароль TACACS+, который будет использоваться данным устройством:

Image RemovedImage Added

Пароль, который будет использоваться для взаимодействия по протоколу TACACS+, необходимо указать в блоке настроек "Настройки аутентификации TACACS+" в поле "Секретный ключ". Нажать "Сохранить".

...

В колонке "Набор команд TACACS*" выбрать системный набор "Allow all". Данный набор команд предполагает разрешение выполнения на устройстве любой команды с любыми аргументами. Вы можете добавить собственный набор команд с другими настройками и использовать его.

Image RemovedImage Added

Нажать кнопку "Сохранить", которая станет доступна после выполнения всех необходимых настроек.

...

Перейти в раздел Доступ к оборудованию → Политики TACACS+. Перейти в настройки политики, в которой требуется выдавать разные уровни привилегий (в примере настраивается политика DefaultTACACS Policy) и добавить две политики авторизации:

Image RemovedImage Added

В первой политике авторизации настроить условие "User identity·Identity Group равно Администраторы TACACS", использовать "Профиль TACACS+*" - "Maximum Privilege" и "Набор команд TACACS*" - "Allow all".

...

Перейти в раздел Доступ к оборудованию → Политики TACACS+. Провалиться в политику, в которой требуется выдавать разные уровни привилегий, и настроить политику авторизации:

Image AddedImage Removed

В политике авторизации оставить ранее настроенное условие условие, использовать созданный выше профиль профиль "Extra attrs", в "Набор команд TACACS*" указать "Allow all".

...

Настройка наборов команд выполняется в разделе Доступ к оборудованию → Элементы политик → Наборы команд TACACS+. Добавить новый набор команд с именем "restrict 1Restrict Collection":

В приведенном выше примере настроено следующее:

...

Перейти в раздел Доступ к оборудованию → Политики TACACS+. Перейти в настройку политики, в которой требуется использовать настроенный ранее набор команд, и настроить в политике авторизации:

Image RemovedImage Added

В политике авторизации оставить ранее настроенное условие условие, использовать "Профиль TACACS+*" - "Maximum Privilege" и в "Набор команд TACACS+*" указать ранее созданный набор "restrict 1Restrict Collection".

Пройти авторизацию на сетевом устройстве и проверить, что можно выполнять только разрешенные команды.

...

Перейти в раздел Доступ к оборудованию → Политики TACACS+. Перейти в настройку политики, в которой требуется использовать настроенный ранее набор команд, и настроить политики аутентификации и авторизации:

Image RemovedImage Added

В блоке "Политика аутентификации" выбрать для политики по умолчанию "Цепочка идентификации*" ранее созданную цепочку идентификации, содержащую Active Directory как внешний источник пользователей.

...