ACS + SWITCH + TCL

Problemy związane ze switchingiem
ODPOWIEDZ
Wiadomość
Autor
lodziomiodzio
rookie
rookie
Posty: 12
Rejestracja: 15 kwie 2009, 21:44

ACS + SWITCH + TCL

#1

#1 Post autor: lodziomiodzio »

Witam,

Nie wiem czy to dokładnie ta cześć forum ale jest to związane z switchami i bezpieczeństwem.

Ostatnio borykam się z sytuacja gdzie muszę wykonać skrypt w tcl leżący sobie we flashu/nvram na switchu. Switch jest podpięty do ACS, wszystko działa poprawnie, jest komunikuje się z ACS,
ale gdy wykonuje polecenie:
## SW1# tclsh nvram:test.tcl ##
Skrypt generuje błąd, a na ACS widzę błąd autoryzacji, co więcej użytkownik jaki doznaje tego błędu autoryzacji, to async mimo ze skrypt wykonuje inny.
Inne polecenia są poprawnie autoryzowane przez ACS


Status 0
Failure Reason 22056 Subject not found in the applicable identity store(s).
Logged At 2015-09-13 12:58:49.838
ACS Time 2015-09-13 12:58:49.813
ACS Instance acs
Authentication Method None
Authentication Type
Header Privilege Level 1
Command Set [ CmdAV=show ip interface brief ]
User Name async
Remote Address async
Network Device Name SWITCH 192.168.XX.50
Netwok Device Group Device Type:All Device Types:SWITCH, Location:All Locations:192.168.XX.0/24
Device IP Address 192.168.XX.50
Access Service Switches
Identity Store
Selected Shell Profile
Matched Command Set
Selected Command Set
Active Directory Domain
Identity Group
Access Service Selection Matched Rule Rule-1
Identity Policy Matched Rule Default
Selected Identity Stores
Query Identity Stores
Selected Query Identity Store
Group Mapping Policy Matched Rule
Authorization Policy Matched Rule
Authorization Exception Policy Matched Rule
Ostatnio zmieniony 13 wrz 2015, 16:07 przez lodziomiodzio, łącznie zmieniany 1 raz.
Na górę
lodziomiodzio
rookie
rookie
Posty: 12
Rejestracja: 15 kwie 2009, 21:44

#2

#2 Post autor: lodziomiodzio »

Szukałem i jedyne z czym wydaje mi się może to mieć związek to:
22056 Subject not found in the applicable identity store(s).

Jeśli skrypt jest wykonywany jako tclsh to działa z innego kontekstu, czy jest na to jakaś rada?
Na górę
borekbp
wannabe
wannabe
Posty: 234
Rejestracja: 29 sie 2005, 23:31

#3

#3 Post autor: borekbp »

próbowałeś z:

Kod: Zaznacz cały

event manager session cli username usernameprivilege<0-15>
?
Na górę
lodziomiodzio
rookie
rookie
Posty: 12
Rejestracja: 15 kwie 2009, 21:44

#4

#4 Post autor: lodziomiodzio »

borekbp pisze:próbowałeś z:

Kod: Zaznacz cały

event manager session cli username usernameprivilege<0-15>
?
Witam,

Dzięki za podpowiedz, jeszcze nie próbowałem, popraw mnie jeśli się mylę, za dokumentacja:

Use the event manager session cli username command to assign a username for EEM policy CLI sessions when TACACS+ is used for command authorization.

If you are using authentication, authorization, and accounting (AAA) security and implement authorization on a command basis, you should use the event manager session cli username command to set a username to be associated with a Tool Command Language (Tcl) session. The username is used when a Tcl policy executes a CLI command. TACACS+ verifies each CLI command using the username associated with the Tcl session that is running the policy. Commands from Tcl policies are not usually verified because the router must be in privileged EXEC mode to register the policy.


Bo jak rozumiem na urządzeniu muszę to "włączyć"
SW1(config-t)# event manager session cli username ACS_USERNAME privilege 15

Dodatkowo muszę przygotować policy eem, a nie mam jak tego teraz przetestować, ale czy moje rozumowanie jest poprawne?
Na górę
ODPOWIEDZ

Wróć do „Switching”