2017年7月7日(初版)
----年--月--日(アップデート)
TAC SR Collection |
主な問題 |
Admin権限を持つRemoteユーザと非Admin権限を持つRemoteユーザが存在する場合に、 Admin権限を持つユーザが確認できるshowコマンド出力が非Admin権限を持つユーザと 同等のものになってしまう。
|
原因 |
この動作については以下の不具合情報が登録されております。
CSCva45311 All external users get assigned default Unix ID 23999
こちらの事象を受ける環境下ですと、全てのRemoteユーザに対して同じUnixIDが付与されてしまい Admin権限を持つユーザが正しい権限でコマンド出力を確認することができなくなる事象が報告されています。 (show running-configでCommon tenantしか表示されない等)
複数のRemote Userに同じUnixIDが付与されているかどうかは下記で確認可能です。
--------------------------------------------- #moquery -c aaaRemoteUser
# aaa.RemoteUser name : user-1 childAction : ciscoAvPair : shell:domains= all//tenant-admin
unixUserId : 23999 <<<<< implicit default user ID
# aaa.RemoteUser name : user-2 childAction : ciscoAvPair : shell:domains= all/admin/
unixUserId : 23999 <<<<<< implicit default user ID
---------------------------------------------
|
解決策
|
CSCva45311 の修正済みバージョンをご利用下さい。 もしくは下記のようにRADIUSサーバ側のCisco AV Pair にてUser毎に異なるUnixIDを手動で付与して下さい。
User 1 = shell profile 1 = shell:domains=all/tenant-admin/(17000)
User 2 = shell profile 2 = shell:domains=all/admin/(17001)
(詳細に関しては不具合ページを参照ください)
|