Cisco ISE - uprawnienia lokalnych administratorów

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
MichalWojciechowski
member
member
Posty: 47
Rejestracja: 11 sty 2011, 18:16

Cisco ISE - uprawnienia lokalnych administratorów

#1

#1 Post autor: MichalWojciechowski »

Cześć,

właśnie konfiguruję TACACS serwer na Cisco ISE i chcę dać specjalne uprawnienia lokalnym administratorom. Mój cel jest następujący: mam kilkanaście switchy w zdalnej lokalizacji (stworzona grupa urządzeń w "Device Network Condition") oraz grupę lokalnych administratorów (logowanie przez konto domenowe). Powinni oni być w stanie zalogować się na urządzenie, wykonać polecenie "show" z dowolnym parametrem (running-config, interface, mac-address-table etc.) jak również wejść w tryb konfiguracji (configure terminal) gdzie mogą TYLKO i wyłącznie zmieniać konfigurację interfejsów. Wszelkie inne zmiany na urządzeniu (STP, NTP, SNMP, Syslog itp) powinny być zabronione. Czy jest możliwość stworzenia takiej konfiguracji, czy nadanie uprawnień do "conf t" oznacza, że użytkownie może zmienić WSZYSTKO bez żadnych ograniczeń? Proszę o wyjaśnienie, jeśli ktoś spotkał się z podobnym przypadkiem. Z góry dziękuję!

Póki co mam następujące komendy w TACACS Command Sets:

Grant Command Arguments
PERMIT enable 15
PERMIT exit
PERMIT show
PERMIT configure terminal
PERMIT interface
PERMIT shutdown
PERMIT no shutdown
PERMIT default interface
PERMIT write memory
DENY_ALWAYS * *

ODPOWIEDZ