Доброго времени!
Использовался коммутатор DES-3200-28/C1. Использовался исключительно для тестов и к продакшену никакого отношения не имел. Был обновлен до последней прошивки и полностью сброшен перед началом работы. На нем проводились и другие эксперименты, но к делу это не относится.
DES-3200-28:admin#sh sw
Command: show switch
Device Type : DES-3200-28 Fast Ethernet Switch
MAC Address : 90-94-E4-27-E7-E0
IP Address : 192.168.1.11 (Manual)
VLAN Name : default
Subnet Mask : 255.255.248.0
Default Gateway : 0.0.0.0
Boot PROM Version : Build 4.00.002
Firmware Version : Build 4.37.B010
Hardware Version : C1
Serial Number : R3DZ1C8004785
System Name :
System Location :
System Uptime : 19 days, 16 hours, 41 minutes, 19 seconds
System Contact :
Spanning Tree : Enabled
GVRP : Disabled
IGMP Snooping : Disabled
MLD Snooping : Disabled
VLAN Trunk : Disabled
Telnet : Enabled (TCP 23)
Web : Enabled (TCP 80)
SNMP : Disabled
SSL Status : Disabled
SSH Status : Disabled
802.1X : Disabled
Jumbo Frame : Disabled
CLI Paging : Enabled
MAC Notification : Disabled
Port Mirror : Disabled
SNTP : Disabled
Syslog Global State : Disabled
Single IP Management : Disabled
Password Encryption Status : Disabled
Использовался Windows Server 2012 с действующим AD. На базе AD был поднят RADIUS.
AAA настроен и работает, и как бы все ок.
Но есть один нюанс)
Группа пользователей имеющая соответствующие права в AD без проблем проходит аутентификацию, но при прохождении авторизации получают минимальные права.
http://www.dlink.ru/ru/faq/62/953.html - FAQ я естественно читал, dlink-Privelege-Level = 5, вписывал, но увы, результата это не дало и при авторизации мы получаем те же минимальные права.
Ну как бы сразу входить с максимальными правами было бы хорошо, но есть же enable admin.
Настроил локальный enable admin.
Что в итоге?
Каждый пользователь заходит под своими учетными данными, а потом, все принимают enable admin и единый для всех пароль. Согласитесь, что то не то.
Судя по статье из FAQ, есть возможность создать пользователя enable, в AD(на RADIUS), но сути, как я понимаю это не поменяет, разве что он будет находиться не на коммутаторе.
Так же я читал, что в такой концепции появляется возможность заходить в коммутатор просто по enable, а не под нужным пользователем, а потом делать enable. Но в любом случае надо сказать RADIUS, что enable имеет права dlink-Privelege-Level = 5, а это у меня не получилось.
Далее непосредственно вопрос:
Есть ли у кого нить опыт настройки RADIUS на win2012 в разрезе присвоения уровней доступа пользователям?
В результате хотелось бы получить следующую концепцию, чисто тестовую пока:
1)Есть пользователи которые имеют право заходить с правами user(посмотреть просто, так сказать) - ну на самом деле так уже все работает. Просто не указываются никакие параметры, типа "dlink-Privelege-Level", ну или как в моем случае указываются, но не применяются.
2)Есть пользователи которые имеют права сразу заходить с правами admin - проще говоря, как правильно указать dlink-Privelege-Level = 5
3)(не обязательно)Есть пользователи которые имеют право заходить с правами user и повышать их до admin(enable admin) - по логике опять же создается одна для всех запись enable. Но как я писал выше, что то не то. Так вот я бы хотел, если вообще это возможно в принципе, что бы сначала входить под
myuser pass и получать минимальные права, а потом делать что то типа
myuser admin и получать максимальные привилегии.
Как то так... надеюсь, на помощь специалистов!!!
Вход
Регистрация
FAQ
Поиск
