cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión

Privilegios y Servidor Tacasc sobre Linux

Buenas tardes.

Necesito configurar un servidor de autenticación (sobre Linux) para los routers Cisco y si bien la autenticación esta funcionando, veo que el usuario autenticado siempre tiene privilegios full aunque en la configuración del TACACS especifique lo contrario. A continuacion configuracion tanto del server como del router:

 

accounting file = /var/log/tac_plus.acct

 

#Esta es la clave que deben usar los clientes o agentes que vayan a usar el tacacs+ como medio de autenticacion

 

key = "73lc0gU4r0*$"

 

# Usar /etc/passwd para la autenticacion

 

#autenticacion por defecto = file /etc/passwd

 

 

 

# * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

# *                     USUARIOS                          *

# * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

 

 

#Cuentas de usuarios

#Redes Bes

       user = vzr3d35 {

       member = admin

       login = des LclenptM1vrPs

}

 

#Seguridad Bes

       user = vz53gur1d4d {

       member = admin

       login = des DFrUVnTXn3IrU

}

 

 

#Soporte solo lectura

        user = cisco    {

        member = readonly

        login = cleartext cisco

                        }

 

#Contratistas

        user = contract  {

        member = contractor

        login = des 6DAEYC5AjeiyY

        enable = des M1zOCv1kSZLJw

}

 

# * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

# *                       GRUPOS                          *

# * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

 

 

#Definir grupos

 

# Grupo Admin

        group = admin {

        default service = permit

        service = exec {

        priv-lvl = 15

        }

}

 

#Grupo Contratistas tiene privilegios de admin

        group = contractor {

        default service = permit

        service = exec {

        priv-lvl = 15

        }

}

 

#Grupo Solo lectura

        group = readonly {

        default service = deny

        #service = exec {

        #priv-lvl = 1

        #}

        cmd = show

                {

                permit ip

                permit interface

                deny .*

                }

}

 

Configuración en el Router:

!
aaa new-model
!
!
aaa authentication login AUTH-VTY group tacacs+ local
aaa authentication login AUTH-CON local-case
aaa authorization exec AUTH-VTY if-authenticated 
aaa authorization commands 1 AUTH-VTY if-authenticated 
aaa accounting update newinfo
aaa accounting exec AUTH-VTY
 action-type start-stop
 group tacacs+
!
aaa accounting commands 1 AUTH-VTY
 action-type stop-only
 group tacacs+
!
aaa accounting commands 15 AUTH-VTY
 action-type stop-only
 group tacacs+
!
aaa accounting connection AUTH-VTY
 action-type stop-only
 group tacacs+
!
!
!
!
!
!         
aaa session-id common
!
!
////////////////////////////////////////

ip access-list standard ACL-VTY
 permit 10.227.158.61
 permit 10.227.155.0 0.0.0.255
!

!
!
!
!
!

tacacs-server host 10.227.158.61 key 7 15455800077A2C117C21656857

 

 

35
Visitas
0
ÚTIL
0
Respuestas