URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17848
[ Назад ]

Исходное сообщение
"Разграничение доступа в CISCO через IAS-RADIUS."
Отправлено Monster_C , 16-Дек-08 11:49

Есть роутер 3845, на нем настроена аутентификация через IAS-RADIUS (M$).
Радиус используется для:
1.Админского доступа (telnet).
2.Easy-VPN.
Юзера разложены по разным группам в AD -- для Telnet и для Easy-VPN.
Группы описаны в разных политиках в IAS'е.
Задача: сделать так, что тот кто может пользовать Telnet не мог бы заходить через Easy-VPN, и наоборот. То есть -- разграничение доступа.
Но у меня пока получается проходной двор - юзера из разных групп могут использовать обе функции (telnet и Easy-VPN).
Подозреваю что нужно использовать некие атрибуты, но как и что -- не понимаю.
Поможите люди добрые кто чем может -- советом или делом.

Содержание

Разграничение доступа в CISCO через IAS-RADIUS.,Slon, 15:40 , 16-Дек-08
- Разграничение доступа в CISCO через IAS-RADIUS.,Monster_C, 16:22 , 17-Дек-08
Разграничение доступа в CISCO через IAS-RADIUS.,Slon, 09:47 , 18-Дек-08

Сообщения в этом обсуждении

"Разграничение доступа в CISCO через IAS-RADIUS."
Отправлено Slon , 16-Дек-08 15:40

>[оверквотинг удален]
>Юзера разложены по разным группам в AD -- для Telnet и для
>Easy-VPN.
>Группы описаны в разных политиках в IAS'е.
>Задача: сделать так, что тот кто может пользовать Telnet не мог бы
>заходить через Easy-VPN, и наоборот. То есть -- разграничение доступа.
>Но у меня пока получается проходной двор - юзера из разных групп
>могут использовать обе функции (telnet и Easy-VPN).
>Подозреваю что нужно использовать некие атрибуты, но как и что -- не
>понимаю.
>Поможите люди добрые кто чем может -- советом или делом.
Service-Type login enable и vpdn на cisco.com или на google:)

"Разграничение доступа в CISCO через IAS-RADIUS."
Отправлено Monster_C , 17-Дек-08 16:22

>
>Service-Type login enable и vpdn на cisco.com или на google:)
Искал.. Пока ничего не нашел..
Проблема в том, что Цыска на Радиус посылает минимум атрибутов, по которым можно что-либо идентифицировать.
Уточните отношение vpdn к EasyVPN(IPSec)?

"Разграничение доступа в CISCO через IAS-RADIUS."
Отправлено Slon , 18-Дек-08 09:47

>[оверквотинг удален]
>Юзера разложены по разным группам в AD -- для Telnet и для
>Easy-VPN.
>Группы описаны в разных политиках в IAS'е.
>Задача: сделать так, что тот кто может пользовать Telnet не мог бы
>заходить через Easy-VPN, и наоборот. То есть -- разграничение доступа.
>Но у меня пока получается проходной двор - юзера из разных групп
>могут использовать обе функции (telnet и Easy-VPN).
>Подозреваю что нужно использовать некие атрибуты, но как и что -- не
>понимаю.
>Поможите люди добрые кто чем может -- советом или делом.
долго искать лень но можете начать от сюда http://www.cisco.com/univercd/cc/td/doc/product/access/acs_s...