Rechte bei Cisco Switch authentication
Hallo
Ich habe ein Cisco Switch (Catalyst 2950) und mache über einen Radius (IAS) die authentication des Users der etwas administrieren will.
Dafür will ich verschiedene Rechte verteilen, sprich das man nur lesen darf und das man auch schreiben darf.
Geht das bei Cisco?
Wenn ja wie?
Danke und Gruß
P.s. Bei Alcatel habe ich das über Vendor Specificated Atribute gemacht... und es klappt wunderbar.
Ich habe ein Cisco Switch (Catalyst 2950) und mache über einen Radius (IAS) die authentication des Users der etwas administrieren will.
Dafür will ich verschiedene Rechte verteilen, sprich das man nur lesen darf und das man auch schreiben darf.
Geht das bei Cisco?
Wenn ja wie?
Danke und Gruß
P.s. Bei Alcatel habe ich das über Vendor Specificated Atribute gemacht... und es klappt wunderbar.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 32670
Url: https://administrator.de/forum/rechte-bei-cisco-switch-authentication-32670.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
8 Kommentare
Neuester Kommentar
Bei Cisco-Geräten sind in der Regel mehrere Konfigurationsmodi vorhanden, du bist nach dem einlogen über Telnet im User-Modus von welchem aus du mit dem Befehl enable in den EXEC-Modus wechseln kansnt. Hier kannst auch Einstellungen vornehmen und die laufende Konfiguration in den Speicher schreiben. mit dem Befehl configure terminal kommst du dann auch in den Globalen-Modus in welchem du so gut wie alles einstellen kannst.
Du kannst für jede Stufe ein Passwort vergeben und diese halt dann nur an berechtiget Personen vergeben. Leider ist meines Wissens nicht möglich das du bestimmten Usern wie in Active Direktory bestimmte Rechte geben kannst. Das würde auch keinen Sinn ergeben da ein user auf dem Switch nichts zu suchen hat. Hier sollte nur der System-Administrator und oder seine Administratoren zugriff haben. Dafür reichen die drei Modi.
Wenn du jemanden das Recht "nur lesen" geben willst reicht es föllig wenn er nur das Passwort für den Zugriff auf den Switch erhält somit ist er im User-Modus und kann nur Informationen (wie IP Adresse, Routen, etc) auslesen. Um das Recht schreiben zu erhalten muss er mit enable in den EXEC wechseln, was du aber mit dem Befehl "enable password" ohne Passwort verhindern kannst.
Wenn du noch Fragen hast schreib doch mal expliziet wie du es dir vorstellst.
z.B. User A muss Routingtabelle insehen können
Du kannst für jede Stufe ein Passwort vergeben und diese halt dann nur an berechtiget Personen vergeben. Leider ist meines Wissens nicht möglich das du bestimmten Usern wie in Active Direktory bestimmte Rechte geben kannst. Das würde auch keinen Sinn ergeben da ein user auf dem Switch nichts zu suchen hat. Hier sollte nur der System-Administrator und oder seine Administratoren zugriff haben. Dafür reichen die drei Modi.
Wenn du jemanden das Recht "nur lesen" geben willst reicht es föllig wenn er nur das Passwort für den Zugriff auf den Switch erhält somit ist er im User-Modus und kann nur Informationen (wie IP Adresse, Routen, etc) auslesen. Um das Recht schreiben zu erhalten muss er mit enable in den EXEC wechseln, was du aber mit dem Befehl "enable password" ohne Passwort verhindern kannst.
Wenn du noch Fragen hast schreib doch mal expliziet wie du es dir vorstellst.
z.B. User A muss Routingtabelle insehen können
Du kannst die Exec Rechte sehr fein einstellen über die Radius Authentifizierung. Generell gibt Cisco aber einer TACACS+ Lösung mehr Parameter, da sie schon immer TACACS bevorzugen. Was du vorhast sollte man damit aber lösen können. Bevor man hier Romane schreibt sieh dir die Doku hier:
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009 ...
mal an. Ggf. auch die folgenden Seiten. Primär ist das für IOS beschrieben aber der 2950 ist ja ein IOS Switch, sollte also dort auch klappen.
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009 ...
mal an. Ggf. auch die folgenden Seiten. Primär ist das für IOS beschrieben aber der 2950 ist ja ein IOS Switch, sollte also dort auch klappen.
Ich meine das müsste gehen aber bin nicht ganz sicher, da Cisco historisch die Exec Kommando Customization über externe Authentifikationen besser mit TACACS+ unterstützt. Ein Versuch mit Radius ist es ja mal wert. Wichtig ist noch das du einen korrekten Dictionary File für deinen Radius hast, das er die Parameter auch supportet.
Falls du es dennoch testen möchtest, den Cisco TACACS+ Server gibt es als freien Download hier:
ftp:\\ftpeng.cisco.com/pub/tacacs/
Im tarball ist auch ein sehr guter User Guide der sehr detailiert den User Setup erklärt. Damit funktioniert eine Kommando Customization nach Benutzern wenigstens problemlos...
Falls du es dennoch testen möchtest, den Cisco TACACS+ Server gibt es als freien Download hier:
ftp:\\ftpeng.cisco.com/pub/tacacs/
Im tarball ist auch ein sehr guter User Guide der sehr detailiert den User Setup erklärt. Damit funktioniert eine Kommando Customization nach Benutzern wenigstens problemlos...
Hallo,
ich habe gerade das umgekehrte Problem. Ich komme aus der Cisco Welt und versuche gerade Alcatel Switche zu meinem Tacacs oder Radius Server hinzu zu fügen. Die reine Anmeldung klappt auch. Aber leider kann ich die rechte nicht weiter abstufen. Also z.B. einem User nur lesende Rechte geben oder so wie du einem User nur erlauben sich ein Interfache anzuschauen.
Das du das bei radius schon gemacht hast kannst du mir evtl. da weiterhelfen.
Danke!!!
Gruss
ich habe gerade das umgekehrte Problem. Ich komme aus der Cisco Welt und versuche gerade Alcatel Switche zu meinem Tacacs oder Radius Server hinzu zu fügen. Die reine Anmeldung klappt auch. Aber leider kann ich die rechte nicht weiter abstufen. Also z.B. einem User nur lesende Rechte geben oder so wie du einem User nur erlauben sich ein Interfache anzuschauen.
Das du das bei radius schon gemacht hast kannst du mir evtl. da weiterhelfen.
Danke!!!
Gruss