О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

Уровень привилегий по RADIUS

MES, ESR
KiselevSP
Сообщения: 2
Зарегистрирован: 14 сен 2018 18:26
Reputation: 0

Уровень привилегий по RADIUS

Сообщение KiselevSP » 14 сен 2018 18:48

Добрый день!
Настраиваю коммутатор MES2324, ОС 4.0.8.3., и авторизацию пользователей на нем с помощью RADIUS-а на WinSRV2012.

На Cisco у нас реализована когда зависимости от принадлежности к группе AD пользователь получает определенный уровень привилегий. Сделано это через передачу атрибута "Cisco-AVPair = "shell:priv-lvl=15"".

Для Eltex-а сделал следующие настройки :

Код: Выделить всё

!
encrypted radius-server host 192.168.5.3 retransmit 2 key ***
encrypted radius-server host 192.168.5.36 retransmit 2 key *** priority 1
radius-server host source-interface vlan 170
!
!
aaa authentication mode break
!
line telnet
 login authentication TEST-ETX
 enable authentication TEST-ETX
 password  ***
exit
line ssh
 login authentication TEST-ETX
 enable authentication TEST-ETX
 password  ***
exit
line console
 login authentication  TEST-ETX
 enable authentication TEST-ETX
 password  ***
exit
!
enable password level 15 encrypted  ***
!
username admin password encrypted  ***  privilege 15
!
ip http authentication aaa login-authentication login-authorization radius local
aaa authentication login  TEST-ETX radius local line enable
aaa authentication enable authorization TEST-ETX radius line enable
!


При попытке элтекса авторизоваться по политикам цыски, он не авторизует, выдает :

%AAA-W-REJECT: New telnet connection for user adm.kiselevsp, source 192.168.201.53 destination 192.168.170.190, RADIUS REJECTED.

При убирании из политик настройки выдающей атрибут "Cisco-AVPair" авторизация проходит, но получается 7 уровень доступа.

Наша политика безопасности предполагает что каждый пользователь использует для повышения привилегий свой, либо уникальный пароль, поэтому схема с созданием одного пользователя "$enab15$" с одним паролем для нас не приемлема.

Как можно реализовать данный функционал на Eltex?

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: Уровень привилегий по RADIUS

Сообщение Евгений Т » 17 сен 2018 09:20

Здравствуйте.

На Cisco у нас реализована когда зависимости от принадлежности к группе AD пользователь получает определенный уровень привилегий. Сделано это через передачу атрибута "Cisco-AVPair = "shell:priv-lvl=15"".

Прошу показать конфиг radius-сервера для данного пользователя. Пример рабочего конфига:
radius Cleartext-Password := "radius"
Service-Type = Administrative-User,
Cisco-AVPair = "shell:priv-lvl=15"

В конфигурации есть ошибка.
Строку
aaa authentication login TEST-ETX radius local line enable
надо заменить на
aaa authentication login authorization TEST-ETX radius local line enable

Наша политика безопасности предполагает что каждый пользователь использует для повышения привилегий свой, либо уникальный пароль, поэтому схема с созданием одного пользователя "$enab15$" с одним паролем для нас не приемлема.

Пароль для enable можно настроить только один. Исходя из вышесказанного я не очень понял зачем он Вам нужен, поскольку аутентификация осуществляется под 15 уровнем привилегий.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

KiselevSP
Сообщения: 2
Зарегистрирован: 14 сен 2018 18:26
Reputation: 0

Re: Уровень привилегий по RADIUS

Сообщение KiselevSP » 18 сен 2018 19:51

Проблему решили, ошибка была в настройках RADIUS. Для Cisco был сделан Service-Type = "Login", для Eltex необходимо сделать Service-Type = "Administrative- User".
Правда логика захода получилась немного отличной от привычной, пользователь с 15 уровнем сразу попадает в 15, и не требуется повторный ввод пароля.


Теперь другой вопрос:


Код: Выделить всё

line console
 login authentication TEST-ETX
 enable authentication TEST-ETX
 password 2fdf665e8447f32ab8be87f402 encrypted
exit

!
enable password level 15 encrypted 2fdf665e8443b252eef32ab8be87f402
!



Общие настройки ААА были приведены выше, настройки консольной линии здесь.

При подключении по консоли, просит ввести логин/пасс. Если ввести неправильный, выдает ошибку авторизации. Если оставить пустым - пропускает в 7 уровень.
При этом, несмотря на указанный EN-пароль, с ним (как и с любым другим ) в 15 уровень попасть невозможно.

В чем может быть ошибка?


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 21 гость