Uzywal ktos tacacs.net? Temat rozwiązany

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Uzywal ktos tacacs.net?

#1

#1 Post autor: frontier »

Heja,

Uzywal ktos tacacs.net? Chce zaimplementowac autoryzacje komend na okolo 200 urzadzeniach, Cisco ISE jest fajne ale wychodzi okolo $40k za dwa pudelka wiec niemalo i rozgladam sie za jakims innym, tanszym rozwiazaniem.
Jeden konfig wart więcej niż tysiąc słów

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Uzywal ktos tacacs.net?

#2

#2 Post autor: mihu »

frontier pisze:Heja,

Uzywal ktos tacacs.net? Chce zaimplementowac autoryzacje komend na okolo 200 urzadzeniach, Cisco ISE jest fajne ale wychodzi okolo $40k za dwa pudelka wiec niemalo i rozgladam sie za jakims innym, tanszym rozwiazaniem.

tacacs.net nie testowałem , a sprawdzałeś opcję 2x VM + DeviceAdmin license only (chyba i tak musisz kupic ze 100 base). Ja bym nie wrzucał w 3rd party chmurę tacacs-a.

jest opcja ISE Express, ale nie supportuje tacacs-a.

poza tym ISE przyda Wam się do innych rzeczy ;)
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

freel4ncer
wannabe
wannabe
Posty: 581
Rejestracja: 27 wrz 2007, 01:13

Re: Uzywal ktos tacacs.net?

#3

#3 Post autor: freel4ncer »

Walic platne tacacsy .
Robilem wdrozenie tacacsa na klka tys pudelek
http://www.pro-bono-publico.de/projects/tac_plus.html
zintegrowalem z istniejacym ldapem
postawilem w sumie 3 servery po 1 w DC na centosie (dla redundancji )
Dziala juz rok , koszt tyle co utrzymanie 3ch vmek
do tego napisalem playbooki w ansible wiec jak padnie jakas vmka to nowego tacacsa moge postawic w 10 min
jedyne co to napisalem maly skrypcik pythonowy ktory umozliwia failover monitoruje czy server moze sie dogadac z ldapem jesli nie to wylacza process dzieki czemu pudelka moga autmatycznie przeskoczyc na kolejnego skonfigurowanego tacacsa

Quote jaki dostalem na 3x acs z licencja large to 58tys USD dziekuje postoje

A teraz mysle nad dodaniem 2Factor :D

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: Uzywal ktos tacacs.net?

#4

#4 Post autor: frontier »

Mihu, tych dodatkowych bajerów nikt u mnie nie potrzebuje :)

Freel4ncer dzieki wielkie juz ogladam! LDAPS dziala tez? Ile $ chcesz za ten skrypt?
Jeden konfig wart więcej niż tysiąc słów

freel4ncer
wannabe
wannabe
Posty: 581
Rejestracja: 27 wrz 2007, 01:13

Re: Uzywal ktos tacacs.net?

#5

#5 Post autor: freel4ncer »

Tja u nas jest po ssl
$ ? daj spokoj jak pojdziesz w ten temat to daj znac i Ci wysle (musze przedtem zerknac by zadnych sensitive information w nim nie bylo ;) )

Awatar użytkownika
PatrykW
wannabe
wannabe
Posty: 1742
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UI.PL / Ubiquiti Polska.pl
Kontakt:

Re: Uzywal ktos tacacs.net?

#6

#6 Post autor: PatrykW »

u siebie uzywam tac_plus.
2FA, AD. Wszystko smiga. Nic dodac, nic ujac.
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Integrujemy i wspieramy IT :)
https://www.ui.pl | https://facebook.com/UIPolska

Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: Uzywal ktos tacacs.net?

#7

#7 Post autor: mihu »

freel4ncer pisze:Walic platne tacacsy .

A teraz mysle nad dodaniem 2Factor :D
tak naprawdę to nie płacisz nigdy za produkt a support z nim związany, to dlatego Windows wygrywa z Linuxem. Co z tego, że Ty (jedna/dwie osoby) znają super freeware produkt, a co jeśli odejdziesz lub coś Ci się stanie? firma leży.

A ISE to jeden z najfajnieszych produktów Cisco z jakimi pracowałem, przynajmniej w działce security.

Ale Twoj pomysł brzmi interesująco od strony technicznej i z chęcią bym się też dowiedział więcej, masz jakiegoś bloga / posta o tej implementacji?

@frontier - z podejściem do bezpieczeństwa jest jak z backupem - firmy dzielą się na te co olewają jedno i drugie, w przypadku (braku) backupu kwiczą po cichu, w przypadku security (o telnet na firewallu...) na te których jeszcze nie było w mediach ;)
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

freel4ncer
wannabe
wannabe
Posty: 581
Rejestracja: 27 wrz 2007, 01:13

Re: Uzywal ktos tacacs.net?

#8

#8 Post autor: freel4ncer »

Moze powinienem toolsy przestac pisac bo przeciez co jak mi sie cos stanie albo odejde , kto to bedzie supportowal ? :P
Idac twoim tokiem rozumowania zadna firma by nigdy nic nowego nie wdrozyla bo przeciez nikt tego nie umie .

Google , FB , Amazon i wile wiele innych firm tego formatu stoi na LINUXACH i OPENSOURCE

Od tego jest dokumentacja , mentoring i dzielenie sie wiedza zeby Ci co maja wewnetrznie wspieac dany produkt wiedzieli co robia.

Ja w pracy Windowsow/Microsoftu od 10 lat nie widzialem , na takie gotowe rozwiazania to ida firmy ktore wlasnie nie maja zaplecza IT (albo nie ma ono wystarczajacej wiedzy / jest za male i wola robic na outsourcingu ) ale potem zazwyczaj z tego powodu cierpia bo Wlasnie Windowsy bo zamkniete systemy , bo licencje itp itd

Nie mam zadnego bloga , nie mam na to czasu, ale odpowiem na pytania jesli je zadasz ;)
Ostatnio zmieniony 21 lip 2017, 13:55 przez freel4ncer, łącznie zmieniany 1 raz.

Awatar użytkownika
grze
wannabe
wannabe
Posty: 419
Rejestracja: 09 cze 2008, 23:15
Lokalizacja: Warsaw

Re: Uzywal ktos tacacs.net?

#9

#9 Post autor: grze »

Czy ktoś uporał się z opcją dodawania jednego usera do wielu grup w tac_plus? Korzystaliście z binarek od Facebook (bo to są chyba najświeższe)?
It doesn't matter how many certs you've got... it's really all about the pure knowledge behind them...

freel4ncer
wannabe
wannabe
Posty: 581
Rejestracja: 27 wrz 2007, 01:13

Re: Uzywal ktos tacacs.net?

#10

#10 Post autor: freel4ncer »

grze pisze:Czy ktoś uporał się z opcją dodawania jednego usera do wielu grup w tac_plus? Korzystaliście z binarek od Facebook (bo to są chyba najświeższe)?
Nie dotkne sie do niczego co udostepnia Facebook :D nieznosze tej firmy :D nie ufam im i uwazam ze powini szczeznac w czelusciach niebytu :D

Ja osobiscie nie testowalem przynaleznosci do wielu grup ale patrzac na dokumentacje probono ktorego uzywam to da sie
http://www.pro-bono-publico.de/projects ... ml#AEN1427

Awatar użytkownika
grze
wannabe
wannabe
Posty: 419
Rejestracja: 09 cze 2008, 23:15
Lokalizacja: Warsaw

Re: Uzywal ktos tacacs.net?

#11

#11 Post autor: grze »

freel4ncer pisze:
grze pisze:Czy ktoś uporał się z opcją dodawania jednego usera do wielu grup w tac_plus? Korzystaliście z binarek od Facebook (bo to są chyba najświeższe)?
Nie dotkne sie do niczego co udostepnia Facebook :D nieznosze tej firmy :D nie ufam im i uwazam ze powini szczeznac w czelusciach niebytu :D

Ja osobiscie nie testowalem przynaleznosci do wielu grup ale patrzac na dokumentacje probono ktorego uzywam to da sie
http://www.pro-bono-publico.de/projects ... ml#AEN1427
Z tego co piszesz faktycznie, kwestia kompilacji ze źródeł. Ja korzystałem z gotowych paczek, tam ta opcja nie działała dobrze.
It doesn't matter how many certs you've got... it's really all about the pure knowledge behind them...

ODPOWIEDZ