downloadable ACL - RADIUS i TACACS

[conip]

hej mam takie pytanko,

z tego co sie doszukalem "downloadable ACL" jest wspierane tylko z wykorzystaniem protokołu RADIUS. Zakladajac ze mialoby sie ACS i np ASA, definiuje na ASA zew serwer AAA po protokole TACACS+ ze wskazaniem na ACS'a. Dzieki temu mam fajną kontrolę np poszczegolnych komend jaki dany uzytkownik moze wykonywac zarządzajac ASA (tego zdaje sie nie osiagnie sie przez RADIUS?)

czy aby teraz wykorzystac funkcjonalność "downloadable ACL" (np do polaczen vpn) to musze zdefiniowac jeszcze raz ten sam serwer ACS po protokole RADIUS (inna aaa-server GROUP-NAME radius np)? i odpowiednio wskazac tą grupę w parametrze authentication-server-group ...

nie mam mozliwosci teraz tego przetestowac (standardowy problem - brak sprzetu) ale czy dobrze mysle? zaleznie od tego na czym chce przeprowadzac authorization (komendy zarzadzajace ASA badz downloadable ACL dla klientow VPN musze wskazac rozne protokoly nawet jak jest to ten sam serwer ACS)?

pzdr

[Bedi]

Jedno z rozwiązań.
Poprzez TACACS autentykujesz dostęp administracyjny do urządzenia
Poprzez RADIUS dostęp VPN.
ACS obsługuje oba protokoły jednocześnie.

[jayjay]

I upewnij się ze twój IOS obsługuje "downloadable ACL" bo to wcale nie jest takie oczywiste z tego co wiem

[crusty]

I upewnij się ze twój IOS obsługuje "downloadable ACL" bo to wcale nie jest takie oczywiste z tego co wiem

pix i asa obsługują ten mechanizm, IOS dla klientow IPSEC VPN niestety nie.

pozdrawiam

[rimowals]

I upewnij się ze twój IOS obsługuje "downloadable ACL" bo to wcale nie jest takie oczywiste z tego co wiem

pix i asa obsługują ten mechanizm, IOS dla klientow IPSEC VPN niestety nie.

IOS obsluguje, jakis tam w miare nowy /ale numerkami rzucac nie bede/. Testowalem z l2tp over ipsec + radius (acs, ale z cisco-av-pair, a nie wersja wyklikana wg. manuali).