hej mam takie pytanko,
z tego co sie doszukalem "downloadable ACL" jest wspierane tylko z wykorzystaniem protokołu RADIUS. Zakladajac ze mialoby sie ACS i np ASA, definiuje na ASA zew serwer AAA po protokole TACACS+ ze wskazaniem na ACS'a. Dzieki temu mam fajną kontrolę np poszczegolnych komend jaki dany uzytkownik moze wykonywac zarządzajac ASA (tego zdaje sie nie osiagnie sie przez RADIUS?)
czy aby teraz wykorzystac funkcjonalność "downloadable ACL" (np do polaczen vpn) to musze zdefiniowac jeszcze raz ten sam serwer ACS po protokole RADIUS (inna aaa-server GROUP-NAME radius np)? i odpowiednio wskazac tą grupę w parametrze authentication-server-group ...
nie mam mozliwosci teraz tego przetestowac (standardowy problem - brak sprzetu) ale czy dobrze mysle? zaleznie od tego na czym chce przeprowadzac authorization (komendy zarzadzajace ASA badz downloadable ACL dla klientow VPN musze wskazac rozne protokoly nawet jak jest to ten sam serwer ACS)?
pzdr
downloadable ACL - RADIUS i TACACS
IOS obsluguje, jakis tam w miare nowy /ale numerkami rzucac nie bede/. Testowalem z l2tp over ipsec + radius (acs, ale z cisco-av-pair, a nie wersja wyklikana wg. manuali).crusty pisze:pix i asa obsługują ten mechanizm, IOS dla klientow IPSEC VPN niestety nie.jayjay pisze:I upewnij się ze twój IOS obsługuje "downloadable ACL" bo to wcale nie jest takie oczywiste z tego co wiem