8
Rechte bei Cisco Switch authentication
Hallo
Ich habe ein Cisco Switch (Catalyst 2950) und mache über einen Radius (IAS) die authentication des Users der etwas administrieren will.
Dafür will ich verschiedene Rechte verteilen, sprich das man nur lesen darf und das man auch schreiben darf.
Geht das bei Cisco?
Wenn ja wie?
Danke und Gruß
P.s. Bei Alcatel habe ich das über Vendor Specificated Atribute gemacht... und es klappt wunderbar.
Ich habe ein Cisco Switch (Catalyst 2950) und mache über einen Radius (IAS) die authentication des Users der etwas administrieren will.
Dafür will ich verschiedene Rechte verteilen, sprich das man nur lesen darf und das man auch schreiben darf.
Geht das bei Cisco?
Wenn ja wie?
Danke und Gruß
P.s. Bei Alcatel habe ich das über Vendor Specificated Atribute gemacht... und es klappt wunderbar.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 32670
Url: https://administrator.de/contentid/32670
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
8 Kommentare
Neuester Kommentar
Bei Cisco-Geräten sind in der Regel mehrere Konfigurationsmodi vorhanden, du bist nach dem einlogen über Telnet im User-Modus von welchem aus du mit dem Befehl enable in den EXEC-Modus wechseln kansnt. Hier kannst auch Einstellungen vornehmen und die laufende Konfiguration in den Speicher schreiben. mit dem Befehl configure terminal kommst du dann auch in den Globalen-Modus in welchem du so gut wie alles einstellen kannst.
Du kannst für jede Stufe ein Passwort vergeben und diese halt dann nur an berechtiget Personen vergeben. Leider ist meines Wissens nicht möglich das du bestimmten Usern wie in Active Direktory bestimmte Rechte geben kannst. Das würde auch keinen Sinn ergeben da ein user auf dem Switch nichts zu suchen hat. Hier sollte nur der System-Administrator und oder seine Administratoren zugriff haben. Dafür reichen die drei Modi.
Wenn du jemanden das Recht "nur lesen" geben willst reicht es föllig wenn er nur das Passwort für den Zugriff auf den Switch erhält somit ist er im User-Modus und kann nur Informationen (wie IP Adresse, Routen, etc) auslesen. Um das Recht schreiben zu erhalten muss er mit enable in den EXEC wechseln, was du aber mit dem Befehl "enable password" ohne Passwort verhindern kannst.
Wenn du noch Fragen hast schreib doch mal expliziet wie du es dir vorstellst.
z.B. User A muss Routingtabelle insehen können
Du kannst für jede Stufe ein Passwort vergeben und diese halt dann nur an berechtiget Personen vergeben. Leider ist meines Wissens nicht möglich das du bestimmten Usern wie in Active Direktory bestimmte Rechte geben kannst. Das würde auch keinen Sinn ergeben da ein user auf dem Switch nichts zu suchen hat. Hier sollte nur der System-Administrator und oder seine Administratoren zugriff haben. Dafür reichen die drei Modi.
Wenn du jemanden das Recht "nur lesen" geben willst reicht es föllig wenn er nur das Passwort für den Zugriff auf den Switch erhält somit ist er im User-Modus und kann nur Informationen (wie IP Adresse, Routen, etc) auslesen. Um das Recht schreiben zu erhalten muss er mit enable in den EXEC wechseln, was du aber mit dem Befehl "enable password" ohne Passwort verhindern kannst.
Wenn du noch Fragen hast schreib doch mal expliziet wie du es dir vorstellst.
z.B. User A muss Routingtabelle insehen können
Hey
Sowas in die Richtung meine ich, es soll User geben die z.B. schauen wie den der Port eingestellt ist damit sie dem entsprechend den Port am PC einstellen können/sollen bzw. zu schauen welcher Port auf welchem VLAN ist etc.
Also welche die nur lesen sollen.
Dann soll es welche geben die vielleicht solche Sachen umstellen können ein Port in ein VLAN nehmen aber diese sollen nicht unbedingt Rechte haben den Radius auszuschalten oder was am Routing rumzupfuschen.
Also auf deutsch
1. nur lesen
2. ganz einfaches schreiben
3. alles
Ich würde dies lieber über Userrechte machen als über das Enable und den Exec-mode.
Bei Alcatel ist das wie gesagt kein Problem kann man über die Richtlinien beim Radius mitgeben.
Sowas in die Richtung meine ich, es soll User geben die z.B. schauen wie den der Port eingestellt ist damit sie dem entsprechend den Port am PC einstellen können/sollen bzw. zu schauen welcher Port auf welchem VLAN ist etc.
Also welche die nur lesen sollen.
Dann soll es welche geben die vielleicht solche Sachen umstellen können ein Port in ein VLAN nehmen aber diese sollen nicht unbedingt Rechte haben den Radius auszuschalten oder was am Routing rumzupfuschen.
Also auf deutsch
1. nur lesen
2. ganz einfaches schreiben
3. alles
Ich würde dies lieber über Userrechte machen als über das Enable und den Exec-mode.
Bei Alcatel ist das wie gesagt kein Problem kann man über die Richtlinien beim Radius mitgeben.
Du kannst die Exec Rechte sehr fein einstellen über die Radius Authentifizierung. Generell gibt Cisco aber einer TACACS+ Lösung mehr Parameter, da sie schon immer TACACS bevorzugen. Was du vorhast sollte man damit aber lösen können. Bevor man hier Romane schreibt sieh dir die Doku hier:
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009 ...
mal an. Ggf. auch die folgenden Seiten. Primär ist das für IOS beschrieben aber der 2950 ist ja ein IOS Switch, sollte also dort auch klappen.
http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009 ...
mal an. Ggf. auch die folgenden Seiten. Primär ist das für IOS beschrieben aber der 2950 ist ja ein IOS Switch, sollte also dort auch klappen.
Hallo
Ich arbeite mich gerade durch die Doku.
Aber noch eine generelle Frage die ich nicht ganz rauslesen konnte.
Kann ich was ich vorhabe mir Radius amchen?
Oder muß ich Tacacs+ nehmen?
Weil darauf möchte ich verzichten sonst muß ich ja 2 Systeme pflegen.
Ich arbeite mich gerade durch die Doku.
Aber noch eine generelle Frage die ich nicht ganz rauslesen konnte.
Kann ich was ich vorhabe mir Radius amchen?
Oder muß ich Tacacs+ nehmen?
Weil darauf möchte ich verzichten sonst muß ich ja 2 Systeme pflegen.
Ich meine das müsste gehen aber bin nicht ganz sicher, da Cisco historisch die Exec Kommando Customization über externe Authentifikationen besser mit TACACS+ unterstützt. Ein Versuch mit Radius ist es ja mal wert. Wichtig ist noch das du einen korrekten Dictionary File für deinen Radius hast, das er die Parameter auch supportet.
Falls du es dennoch testen möchtest, den Cisco TACACS+ Server gibt es als freien Download hier:
ftp:\\ftpeng.cisco.com/pub/tacacs/
Im tarball ist auch ein sehr guter User Guide der sehr detailiert den User Setup erklärt. Damit funktioniert eine Kommando Customization nach Benutzern wenigstens problemlos...
Falls du es dennoch testen möchtest, den Cisco TACACS+ Server gibt es als freien Download hier:
ftp:\\ftpeng.cisco.com/pub/tacacs/
Im tarball ist auch ein sehr guter User Guide der sehr detailiert den User Setup erklärt. Damit funktioniert eine Kommando Customization nach Benutzern wenigstens problemlos...
hallo
kennst du auch einen guten freien Tacacs Server auf Windows Basis?
kennst du auch einen guten freien Tacacs Server auf Windows Basis?
Leider nein. Meines Wissen gibt es für Windows keine freien TACACS+ Server.
Hallo,
ich habe gerade das umgekehrte Problem. Ich komme aus der Cisco Welt und versuche gerade Alcatel Switche zu meinem Tacacs oder Radius Server hinzu zu fügen. Die reine Anmeldung klappt auch. Aber leider kann ich die rechte nicht weiter abstufen. Also z.B. einem User nur lesende Rechte geben oder so wie du einem User nur erlauben sich ein Interfache anzuschauen.
Das du das bei radius schon gemacht hast kannst du mir evtl. da weiterhelfen.
Danke!!!
Gruss
ich habe gerade das umgekehrte Problem. Ich komme aus der Cisco Welt und versuche gerade Alcatel Switche zu meinem Tacacs oder Radius Server hinzu zu fügen. Die reine Anmeldung klappt auch. Aber leider kann ich die rechte nicht weiter abstufen. Also z.B. einem User nur lesende Rechte geben oder so wie du einem User nur erlauben sich ein Interfache anzuschauen.
Das du das bei radius schon gemacht hast kannst du mir evtl. da weiterhelfen.
Danke!!!
Gruss
