Та вроде в бытность мою админом в радиус нельзя было слать лог CLI-команд. В 2006-м это подтверждал Иван Пепельняк - The AAA architecture of Cisco IOS contains a number of very useful features, including the ability to authorize and log every CLI command executed on the router. Unfortunately, the /AAA command accounting/ only supports TACACS+ as the AAA transport protocol, making it unusable in environments using RADIUS. Что-то поменялось с тех пор? On 5/9/17 9:03 AM, Andriy Berestovskyy wrote:

Привет!

On 9 May 2017, at 02:56, Volodymyr Litovka mailto:doka.ua@gmail.com> wrote:

...

насколько я понимаю, кроме TACACS+ у Cisco нет другого вменяемого способа сохранять команды CLI.

На сколько я помню, радиус не умеет авторизировать, но это можно локально сконфигурировать. А аккаунтинг вроде как можно и в радиус складывать, ы?

Андрей

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

Ну да, Cisco дешевле :-)) -- /doka, on the run

On May 9, 2017, at 17:19, Andriy Berestovskyy wrote:

Ок, спасибо. Сорри, я тоже давно к железу не притрагивался, наверное с чем-то другим попутал...

Андрей

...

On 9 May 2017, at 15:24, Volodymyr Litovka wrote:

Та вроде в бытность мою админом в радиус нельзя было слать лог CLI-команд.

В 2006-м это подтверждал Иван Пепельняк -

The AAA architecture of Cisco IOS contains a number of very useful features, including the ability to authorize and log every CLI command executed on the router. Unfortunately, the AAA command accounting only supports TACACS+ as the AAA transport protocol, making it unusable in environments using RADIUS.

Что-то поменялось с тех пор?

...

On 5/9/17 9:03 AM, Andriy Berestovskyy wrote: Привет!

...

On 9 May 2017, at 02:56, Volodymyr Litovka wrote: насколько я понимаю, кроме TACACS+ у Cisco нет другого вменяемого способа сохранять команды CLI.

На сколько я помню, радиус не умеет авторизировать, но это можно локально сконфигурировать. А аккаунтинг вроде как можно и в радиус складывать, ы?

Андрей

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

On 5/9/17 9:41 AM, Michail Litvak wrote:

Привет,

Я знаю, что использовали Radiator (https://www.open.com.au/radiator/) у него есть Tacacs+ frontend, но цена там тоже не очень приятная... Шалені гроші :-\

2017-05-09 3:56 GMT+03:00 Volodymyr Litovka mailto:doka.ua@gmail.com>:

Привет,

насколько я понимаю, кроме TACACS+ у Cisco нет другого вменяемого способа сохранять команды CLI.

Кто-нибудь пользует TACACS+? Что нынче есть живое под linux / bsd?

Я нашёл -

* ftp://ftp.shrubbery.net/pub/tac_plus/ ftp://ftp.shrubbery.net/pub/tac_plus/ - последняя версия датирована 15-м годом, что неплохо - не поддерживает SQL в роли backend, т.е. для распределенной системы не слишком удобен

* http://www.xperiencetech.com/products/tacacs/features-brief.asp http://www.xperiencetech.com/products/tacacs/features-brief.asp - очень даже живой, крайняя версия выпущена в феврале 2017 - поддерживает SQL backend - $600 за пару серверов, что несколько сдерживает :)

* есть еще упоминания про ironbox tacacs, но домен неживой и, вероятно, проект мёртв

* Cisco ACS, но xperiencetech всяко дешевле :)

Вот этот вариант - http://blog.ipspace.net/2006/11/cli-command-logging-without-tacacs.html http://blog.ipspace.net/2006/11/cli-command-logging-without-tacacs.html - хорош всем кроме того, что он не указывает юзера, который вводит команды.

Есть еще варианты чем или как по другому записывать кто, что и когда сделал на маршрутизаторе?

Спасибо.

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua mailto:uanog@uanog.kiev.ua http://mailman.uanog.kiev.ua/mailman/listinfo/uanog http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- MYL2-RIPE

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

Спасибо! Это не совсем удобный вариант, хотя покатит, конечно, за неимением лучшего :) On 5/9/17 9:52 AM, anatol.sukhomlin@gmail.com wrote:

Добрый день.

Если речь именно о cisco, то в IOS есть функционал логирования всех введенных команд.

archive

С уважением

t. 380 67 786 5372 skype: ciscors E-mail: anatol.sukhomlin@gmail.com

*Від: *Volodymyr Litovka mailto:doka.ua@gmail.com *Надіслано: *9 травня 2017 р. о 3:56 *Кому: *UANOG UANOG mailto:uanog@uanog.kiev.ua *Тема: *[uanog] TACACS+ server

Привет,

насколько я понимаю, кроме TACACS+ у Cisco нет другого вменяемого способа сохранять команды CLI.

Кто-нибудь пользует TACACS+? Что нынче есть живое под linux / bsd?

Я нашёл -

* ftp://ftp.shrubbery.net/pub/tac_plus/ - последняя версия датирована 15-м годом, что неплохо - не поддерживает SQL в роли backend, т.е. для распределенной системы не слишком удобен

* http://www.xperiencetech.com/products/tacacs/features-brief.asp - очень даже живой, крайняя версия выпущена в феврале 2017 - поддерживает SQL backend - $600 за пару серверов, что несколько сдерживает :)

* есть еще упоминания про ironbox tacacs, но домен неживой и, вероятно, проект мёртв

* Cisco ACS, но xperiencetech всяко дешевле :)

Вот этот вариант - http://blog.ipspace.net/2006/11/cli-command-logging-without-tacacs.html - хорош всем кроме того, что он не указывает юзера, который вводит команды.

Есть еще варианты чем или как по другому записывать кто, что и когда сделал на маршрутизаторе?

Спасибо.

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison