1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт авг 05, 2025 04:07

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
rz3dwy
 Заголовок сообщения: DES-3028+RADIUS
СообщениеДобавлено: Пн сен 28, 2009 13:17 
Не в сети

Зарегистрирован: Пт мар 06, 2009 05:54
Сообщений: 71
Откуда: Москва
Здравствуйте. Помогите настроить ааа на свиче. Вот тот конфиг, что работает на 3026:

create authen server_host 10.126.130.27 protocol radius port 1812 key "rad_key" timeout 5 retransmit 2
config authen server_group radius delete server_host 10.126.130.27 protocol radius
create authen server_host 10.126.130.29 protocol radius port 1812 key "rad_key" timeout 5 retransmit 2
config authen server_group radius delete server_host 10.126.130.29 protocol radius
config authen server_group radius add server_host 10.126.130.27 protocol radius
config authen server_group radius add server_host 10.126.130.29 protocol radius
config authen_login default method local
create authen_login method_list_name NMS-login
config authen_login method_list_name NMS-login method radius local
config authen_enable default method local_enable
create authen_enable method_list_name NMS-enable
config authen_enable method_list_name NMS-enable method radius local_enable
config authen application console login method_list_name NMS-login
config authen application console enable method_list_name NMS-enable
config authen application telnet login method_list_name NMS-login
config authen application telnet enable method_list_name NMS-enable
config authen application ssh login method_list_name NMS-login
config authen application ssh enable method_list_name NMS-enable
config authen application http login method_list_name NMS-login
config authen application http enable method_list_name NMS-enable
config authen parameter response_timeout 30
config authen parameter attempt 3
enable authen_policy
config authen enable_admin none state enable
config authen enable_admin radius state enable
config authen enable_admin tacacs state enable
config authen enable_admin tacacs+ state enable
config authen enable_admin xtacacs state enable
config authen enable_admin local state enable
config admin local_enable


пытался настроить его же на 3028 - нет команды config authen enable_admin....

В результате на свитч я захожу, но с минимальными привилегиями. Какие атрибуты VSA отдавать чтоб корректно работало разграничение прав?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: DES-3028+RADIUS
СообщениеДобавлено: Пн сен 28, 2009 13:54 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
На данной серии можно только зайти под user и потом повысить уровень прав до администраторских командой enable admin. Для этого нужно создать учетную запись для пользователя enable на сервере.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения: Re: DES-3028+RADIUS
СообщениеДобавлено: Пн сен 28, 2009 13:57 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Код:
# AAA

create authen server_host 192.168.1.15 protocol radius port 1812 key "123456" timeout 5 retransmit 2
config authen server_group radius delete server_host 192.168.1.15 protocol radius
config authen server_group radius add server_host 192.168.1.15 protocol radius
config authen_login default method local
create authen_login method_list_name rad_ext
config authen_login method_list_name rad_ext method radius
config authen_enable default method  local_enable
create authen_enable method_list_name rad_ext_ena
config authen_enable method_list_name rad_ext_ena method radius
config authen application console login default
config authen application console enable default
config authen application telnet login method_list_name rad_ext
config authen application telnet enable method_list_name rad_ext_ena
config authen application ssh login default
config authen application ssh enable default
config authen application http login method_list_name rad_ext
config authen application http enable method_list_name rad_ext_ena
config authen parameter response_timeout 0
config authen parameter attempt 3
enable authen_policy
config admin local_enable
admin
admin


DES-3028:4#sh log
Command: show log

Index Data       Time     Log Text
----- ---------- -------- ------------------------------------------------------
33    2009-03-11 17:35:36 Successful Enable Admin through Web from 192.168.1.15 authenticated by AAA server 192.168.1.15 (Username: user)
 32    2009-03-11 17:35:11 Successful login through Web from 192.168.1.15 authenticated by AAA server 192.168.1.15 (Username: user)

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
rz3dwy
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 28, 2009 14:03 
Не в сети

Зарегистрирован: Пт мар 06, 2009 05:54
Сообщений: 71
Откуда: Москва
т.е. на RADIUS-сервере должно каким-то образом быть указано кому можно выполнять эту команду?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 28, 2009 15:16 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Нужно знать пароль для повышения прав до администратора.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 28, 2009 22:03 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
В принципе логика верная. Если сможете на Radius сервере задать кому выполнять enable admin а кому нет то эта задача будет решена. Ещё обратите внимание что в последних версиях прошивки DES-3028 появилось логирование по user-ам и командам, что позволяет определить по логам и syslog-у например какие команды кто под админом вводил.
Вернуться наверх
 Профиль  
 
rz3dwy
 Заголовок сообщения:
СообщениеДобавлено: Вт сен 29, 2009 03:35 
Не в сети

Зарегистрирован: Пт мар 06, 2009 05:54
Сообщений: 71
Откуда: Москва
Большое спасибо за разъяснение!
Сейчас пока у нас:

config authen application telnet login method_list_name NMS-login
config authen application telnet enable default

т.е. RADIUS-сервер определяет возможность входа на свитч, а вот повышаются права уже локально, используя административные логин/пароль.
Думаю, это временное решение, пока админ не настроит свой RADIUS)))))
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт сен 29, 2009 19:01 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Рад слышать!
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 19

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB