Терминальный сервер на Cisco: как привязать пользователя к линии?
Приветствую! Есть терминальный сервер на Cisco: пользователи ходят SSHем на определенный порт Cisco, аутентифицируются, и попадают на консоль своего оборудования. Сделано сейчас так: username user33 password *** [...] username user64 password *** ! ip ssh port 2033 rotary 33 64 ! line 33 rotary 33 no exec transport input ssh transport output none stopbits 1 ! и т.д. до line 64. Но при такой конфигурации аутентифицированный пользователь может попасть на любую линию. Задача состоит в том, чтобы привязать пользователя только к его линии. Возникла идея сделать так: aaa authentication login al-CONSOLE line ! line 33 password 7 10682514011143590554732D login authentication al-CONSOLE rotary 33 no exec transport input ssh transport output none stopbits 1 Тогда пользователь попадает только на свою линию, но может в ssh отдать любой username, главное, чтобы пароль совпадал, что тоже не вариант. Радиус или Такакс использовать не хочется. Что еще можно придумать? Спасибо. -- Kind Regards, Alexander Shikoff AMS1-UANIC
Приветствую.
On Nov 2, 2012, at 3:32 AM, Alexander Shikoff
Приветствую!
Есть терминальный сервер на Cisco: пользователи ходят SSHем на определенный порт Cisco, аутентифицируются, и попадают на консоль своего оборудования.
Сделано сейчас так:
username user33 password *** [...] username user64 password *** ! ip ssh port 2033 rotary 33 64 ! line 33 rotary 33 no exec transport input ssh transport output none stopbits 1 !
и т.д. до line 64.
Но при такой конфигурации аутентифицированный пользователь может попасть на любую линию. Задача состоит в том, чтобы привязать пользователя только к его линии. Возникла идея сделать так:
aaa authentication login al-CONSOLE line ! line 33 password 7 10682514011143590554732D login authentication al-CONSOLE rotary 33 no exec transport input ssh transport output none stopbits 1
Тогда пользователь попадает только на свою линию, но может в ssh отдать любой username, главное, чтобы пароль совпадал, что тоже не вариант.
Радиус или Такакс использовать не хочется. Tacacs наше фсё. А почему не хочется?
Что еще можно придумать? Спасибо.
-- Kind Regards, Alexander Shikoff AMS1-UANIC
On Fri, Nov 02, 2012 at 10:22:14AM +0200, Sergey Galat wrote:
Приветствую.
On Nov 2, 2012, at 3:32 AM, Alexander Shikoff
wrote: Приветствую!
Есть терминальный сервер на Cisco: пользователи ходят SSHем на определенный порт Cisco, аутентифицируются, и попадают на консоль своего оборудования.
Сделано сейчас так:
username user33 password *** [...] username user64 password *** ! ip ssh port 2033 rotary 33 64 ! line 33 rotary 33 no exec transport input ssh transport output none stopbits 1 !
и т.д. до line 64.
Но при такой конфигурации аутентифицированный пользователь может попасть на любую линию. Задача состоит в том, чтобы привязать пользователя только к его линии. Возникла идея сделать так:
aaa authentication login al-CONSOLE line ! line 33 password 7 10682514011143590554732D login authentication al-CONSOLE rotary 33 no exec transport input ssh transport output none stopbits 1
Тогда пользователь попадает только на свою линию, но может в ssh отдать любой username, главное, чтобы пароль совпадал, что тоже не вариант.
Радиус или Такакс использовать не хочется. Tacacs наше фсё. А почему не хочется? Принцип "чем проще, тем надежнее" :) Удалось сделать через autocommand для username, но теперь у всех клиентов одинаковый ssh-порт на вход, но это лучше, чем любой username.
-- Kind Regards, Alexander Shikoff AMS1-UANIC
participants (3)
-
Alexander Shikoff
-
Sergey Galat
-
Vasiliy P. Melnik