
Привет, насколько я понимаю, кроме TACACS+ у Cisco нет другого вменяемого способа сохранять команды CLI. Кто-нибудь пользует TACACS+? Что нынче есть живое под linux / bsd? Я нашёл - * ftp://ftp.shrubbery.net/pub/tac_plus/ - последняя версия датирована 15-м годом, что неплохо - не поддерживает SQL в роли backend, т.е. для распределенной системы не слишком удобен * http://www.xperiencetech.com/products/tacacs/features-brief.asp - очень даже живой, крайняя версия выпущена в феврале 2017 - поддерживает SQL backend - $600 за пару серверов, что несколько сдерживает :) * есть еще упоминания про ironbox tacacs, но домен неживой и, вероятно, проект мёртв * Cisco ACS, но xperiencetech всяко дешевле :) Вот этот вариант - http://blog.ipspace.net/2006/11/cli-command-logging-without-tacacs.html - хорош всем кроме того, что он не указывает юзера, который вводит команды. Есть еще варианты чем или как по другому записывать кто, что и когда сделал на маршрутизаторе? Спасибо. -- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

Привет!
On 9 May 2017, at 02:56, Volodymyr Litovka
wrote: насколько я понимаю, кроме TACACS+ у Cisco нет другого вменяемого способа сохранять команды CLI.
На сколько я помню, радиус не умеет авторизировать, но это можно локально сконфигурировать. А аккаунтинг вроде как можно и в радиус складывать, ы? Андрей

Та вроде в бытность мою админом в радиус нельзя было слать лог CLI-команд. В 2006-м это подтверждал Иван Пепельняк - The AAA architecture of Cisco IOS contains a number of very useful features, including the ability to authorize and log every CLI command executed on the router. Unfortunately, the /AAA command accounting/ only supports TACACS+ as the AAA transport protocol, making it unusable in environments using RADIUS. Что-то поменялось с тех пор? On 5/9/17 9:03 AM, Andriy Berestovskyy wrote:
-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

Привет,
Я знаю, что использовали Radiator (https://www.open.com.au/radiator/) у
него есть Tacacs+ frontend, но цена там тоже не очень приятная...
2017-05-09 3:56 GMT+03:00 Volodymyr Litovka
-- MYL2-RIPE

Добрый день. Если речь именно о cisco, то в IOS есть функционал логирования всех введенных команд. archive С уважением t. 380 67 786 5372 skype: ciscors E-mail: anatol.sukhomlin@gmail.com Від: Volodymyr Litovka Надіслано: 9 травня 2017 р. о 3:56 Кому: UANOG UANOG Тема: [uanog] TACACS+ server Привет, насколько я понимаю, кроме TACACS+ у Cisco нет другого вменяемого способа сохранять команды CLI. Кто-нибудь пользует TACACS+? Что нынче есть живое под linux / bsd? Я нашёл - * ftp://ftp.shrubbery.net/pub/tac_plus/ - последняя версия датирована 15-м годом, что неплохо - не поддерживает SQL в роли backend, т.е. для распределенной системы не слишком удобен * http://www.xperiencetech.com/products/tacacs/features-brief.asp - очень даже живой, крайняя версия выпущена в феврале 2017 - поддерживает SQL backend - $600 за пару серверов, что несколько сдерживает :) * есть еще упоминания про ironbox tacacs, но домен неживой и, вероятно, проект мёртв * Cisco ACS, но xperiencetech всяко дешевле :) Вот этот вариант - http://blog.ipspace.net/2006/11/cli-command-logging-without-tacacs.html - хорош всем кроме того, что он не указывает юзера, который вводит команды. Есть еще варианты чем или как по другому записывать кто, что и когда сделал на маршрутизаторе? Спасибо. -- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

On Tue, May 09, 2017 at 03:56:12AM +0300, Volodymyr Litovka wrote:
А шо мешает "допилить" ? Вроде как не сложно открыть коннект, заспамить таблицу инсертами с нужными данными, закрыть. В худшем случае - обработку "ой, отвалилось" дописать и матюкаться при "ой, заклинило" и "БиДэ упало". Пилить config.c (если шоб красиво) и report.c. Одна возможная беда - если вдвоём+ зайти - может каша будет. Как вариант - есть же сислогд, умеющие в БД пукать? Вот и слепить франкенштейна "для распределенной системы" :)
-- Best regards, Paul Arakelyan.

On Tue, May 09, 2017 at 03:56:12AM +0300, Volodymyr Litovka wrote:
Ах-даблин! # Welcome. # This is a modified verion of Cisco's free tacacs+ daemon. Собсно - просто переточили "под себя" и код там - старее только у нас было, из 90-х до "пока диалап не потушили" в 2012 :). -- Best regards, Paul Arakelyan.
participants (5)
-
anatol.sukhomlin@gmail.com
-
Andriy Berestovskyy
-
Michail Litvak
-
Paul Arakelyan
-
Volodymyr Litovka