Настраиваю коммутатор MES2324, ОС 4.0.8.3., и авторизацию пользователей на нем с помощью RADIUS-а на WinSRV2012.
На Cisco у нас реализована когда зависимости от принадлежности к группе AD пользователь получает определенный уровень привилегий. Сделано это через передачу атрибута "Cisco-AVPair = "shell:priv-lvl=15"".
Для Eltex-а сделал следующие настройки :
Код: Выделить всё
!
encrypted radius-server host 192.168.5.3 retransmit 2 key ***
encrypted radius-server host 192.168.5.36 retransmit 2 key *** priority 1
radius-server host source-interface vlan 170
!
!
aaa authentication mode break
!
line telnet
login authentication TEST-ETX
enable authentication TEST-ETX
password ***
exit
line ssh
login authentication TEST-ETX
enable authentication TEST-ETX
password ***
exit
line console
login authentication TEST-ETX
enable authentication TEST-ETX
password ***
exit
!
enable password level 15 encrypted ***
!
username admin password encrypted *** privilege 15
!
ip http authentication aaa login-authentication login-authorization radius local
aaa authentication login TEST-ETX radius local line enable
aaa authentication enable authorization TEST-ETX radius line enable
!
При попытке элтекса авторизоваться по политикам цыски, он не авторизует, выдает :
%AAA-W-REJECT: New telnet connection for user adm.kiselevsp, source 192.168.201.53 destination 192.168.170.190, RADIUS REJECTED.
При убирании из политик настройки выдающей атрибут "Cisco-AVPair" авторизация проходит, но получается 7 уровень доступа.
Наша политика безопасности предполагает что каждый пользователь использует для повышения привилегий свой, либо уникальный пароль, поэтому схема с созданием одного пользователя "$enab15$" с одним паролем для нас не приемлема.
Как можно реализовать данный функционал на Eltex?