Элтекс

Добрый день!
Настраиваю коммутатор MES2324, ОС 4.0.8.3., и авторизацию пользователей на нем с помощью RADIUS-а на WinSRV2012.

На Cisco у нас реализована когда зависимости от принадлежности к группе AD пользователь получает определенный уровень привилегий. Сделано это через передачу атрибута "Cisco-AVPair = "shell:priv-lvl=15"".

Для Eltex-а сделал следующие настройки :

Код: Выделить всё

!
encrypted radius-server host 192.168.5.3 retransmit 2 key ***
encrypted radius-server host 192.168.5.36 retransmit 2 key *** priority 1
radius-server host source-interface vlan 170
!
!
aaa authentication mode break
!
line telnet
 login authentication TEST-ETX
 enable authentication TEST-ETX
 password  *** 
exit
line ssh
 login authentication TEST-ETX
 enable authentication TEST-ETX
 password  *** 
exit
line console
 login authentication  TEST-ETX
 enable authentication TEST-ETX
 password  *** 
exit
!
enable password level 15 encrypted  *** 
!
username admin password encrypted  ***  privilege 15
!
ip http authentication aaa login-authentication login-authorization radius local
aaa authentication login  TEST-ETX radius local line enable
aaa authentication enable authorization TEST-ETX radius line enable
!

При попытке элтекса авторизоваться по политикам цыски, он не авторизует, выдает :

%AAA-W-REJECT: New telnet connection for user adm.kiselevsp, source 192.168.201.53 destination 192.168.170.190, RADIUS REJECTED.

При убирании из политик настройки выдающей атрибут "Cisco-AVPair" авторизация проходит, но получается 7 уровень доступа.

Наша политика безопасности предполагает что каждый пользователь использует для повышения привилегий свой, либо уникальный пароль, поэтому схема с созданием одного пользователя "$enab15$" с одним паролем для нас не приемлема.

Как можно реализовать данный функционал на Eltex?

Здравствуйте.

На Cisco у нас реализована когда зависимости от принадлежности к группе AD пользователь получает определенный уровень привилегий. Сделано это через передачу атрибута "Cisco-AVPair = "shell:priv-lvl=15"".

Прошу показать конфиг radius-сервера для данного пользователя. Пример рабочего конфига:
radius Cleartext-Password := "radius"
Service-Type = Administrative-User,
Cisco-AVPair = "shell:priv-lvl=15"

В конфигурации есть ошибка.
Строку
aaa authentication login TEST-ETX radius local line enable
надо заменить на
aaa authentication login authorization TEST-ETX radius local line enable

Наша политика безопасности предполагает что каждый пользователь использует для повышения привилегий свой, либо уникальный пароль, поэтому схема с созданием одного пользователя "$enab15$" с одним паролем для нас не приемлема.

Пароль для enable можно настроить только один. Исходя из вышесказанного я не очень понял зачем он Вам нужен, поскольку аутентификация осуществляется под 15 уровнем привилегий.

Проблему решили, ошибка была в настройках RADIUS. Для Cisco был сделан Service-Type = "Login", для Eltex необходимо сделать Service-Type = "Administrative- User".
Правда логика захода получилась немного отличной от привычной, пользователь с 15 уровнем сразу попадает в 15, и не требуется повторный ввод пароля.

Теперь другой вопрос:

Код: Выделить всё

line console
 login authentication TEST-ETX
 enable authentication TEST-ETX
 password 2fdf665e8447f32ab8be87f402 encrypted
exit

!
enable password level 15 encrypted 2fdf665e8443b252eef32ab8be87f402
!

Общие настройки ААА были приведены выше, настройки консольной линии здесь.

При подключении по консоли, просит ввести логин/пасс. Если ввести неправильный, выдает ошибку авторизации. Если оставить пустым - пропускает в 7 уровень.
При этом, несмотря на указанный EN-пароль, с ним (как и с любым другим ) в 15 уровень попасть невозможно.

В чем может быть ошибка?

Элтекс

Уровень привилегий по RADIUS

Уровень привилегий по RADIUS

Re: Уровень привилегий по RADIUS

Re: Уровень привилегий по RADIUS