Phân quyền người dùng trong ACS 4.2

[longphi11]

Hi các bác

Hiện tại em đang sử dụng ACS 4.2 để quản lý các user trong công ty. Em đang gặp một vấn đề về việc phân quyền cho các user. Cụ thể là em muốn một số các user chỉ có thể vào được những thiết bị nhất định, còn các thiết bị không được cho phép thì họ không thể vào được. VD: IT ở hội sở có quyền vào tất cả các thiết bị trong mạng, còn IT ở chi nhánh chỉ có quyền vào các thiết bị ở tại chi nhánh đó.

Em có tìm hiểu một số tài liệu nói về NAR (Network Access Restriction) nhưng vẫn chưa giải quyết được vấn đề. Mong các bác giúp đỡ em !

[longphi11]

Báo cáo với cái bác là em đã giải quyết được vấn đề rồi. Bác nào gặp trường hợp tương tự thì cứ mess cho em

[tin_superman]

Chúc mừng bạn nha!

- Bạn có thể chia sẽ cách làm trên web luôn được ko ?

Tks,

[longphi11]

Chia sẻ với các bạn về cách thức giải quyết vấn đề của tớ
-Vào trong Shared Profile Components tạo một shell command
-Với limited user thì nên chỉ permit cho 1 số câu lệnh show, ping, exit
các bạn có thể xem chi tiết về việc này ở đây http://www.cisco.com/en/US/products/...808d9138.shtml

cách tạo shell command theo hướng dẫn này cực chuẩn luôn.
Chú ý cấu hình trên router cần có câu lệnh
#aaa authorization commands 0 default group tacacs+ local
#aaa authorization commands 1 default group tacacs+ local
#aaa authorization commands 15 default group tacacs+ local

-Kích hoạt chức năng group trong ACS trong mục interface configuration. Tích vào Network device group và group-level shared network access restriction
-Vào trong Network Configuration tạo các group theo nhu cầu để gán cho user
-Sau đó vào Group setup để tạo nhóm user cần phân quyền. Chẳng hạn: nhóm user ở Đà Nẵng, tạo 1 group Đà Nẵng. Sau đó edit group vừa tạo ra , vào Shell Command Authorization Set chọn mục "Assign a Shell Command Authorization Set on a per Network Device Group Basis".
Trong đó, Device group là group mà bạn muốn user chỉ có quyền trên đó, command set là cách bạn cho user có quyền làm j trên đó với command shell.
-Phần việc còn lại rất đơn giản, bạn chỉ cần gán user mà bạn muốn hạn chế quyền vào group mà bạn vừa định nghĩa.

P/S: Mình định upload ảnh lên cho các bạn dễ hình dung, nhưng vì đường truyền internet bị đơ nên nếu ai cần thì ới mình.

[cadoi]

hi,

Mình cũng cấu hình tính năng "Assign a Shell Command Authorization Set on a per Network Device Group Basis" tuy nhiên ban đầu it device thi có vẻ oki nhưng số lương device tăng lên bắt đầu có dấu hiệu bug, user set cho NGD 1 với quyền view nhưng vẫn vào được quyền view với NGD2. Mình đang đau đầu về vụ này,


Bạn có cách nào xử lý vấn đề này không?

[mystery1983]

Vậy bạn có thể gán ip tĩnh cho 1 user nào đó khi đăng nhập vào hệ thống ko ? VD : user1 khi log in vào máy tính sẽ được cấp 1 ip 192.168.1.20.