Справка по NSG Linux: дерево команд

Что это такое?

Это выбор источника аутентификации.

Зачем это нужно?

Чтобы выбирать между аутентификацией по локальной таблице пользователей, на централизованном сервере RADIUS/TACACS+, или безусловным отказом.

Как это настроить?

local: По локальному списку пользователей на данном устройстве (кроме политики PPP). Устаревшая настройка, сохранена для совместимости с имеющимися конфигурациями.
Имена и пароли системных пользователей задаются в узле users. Для пользователей PPP имена и пароли задаются в отдельных таблицах ppp-secrets.
strict local: По локальному списку, но с использованием более строгих процедур. Рекомендуется для всех новых инсталляций.
radius: По централизованному серверу RADIUS.
tacacs: По централизованному серверу TACACS+.
deny: Отказать в аутентификации безусловно. Этот режим используется, например, чтобы временно отключить данный способ аутентификации, не удаляя существующих настроек.

Для аутентификации по RADIUS/TACACS+ далее необходимо настроить IP-адрес сервера и пароль для доступа на него.

ПРИМЕЧАНИЕ. В данной версии NSG Linux при аутентификации по TACACS+ в запросе указываются различные значения полей service и protocol в зависимости от выбранной политики:
default service=raсcess, protocol=none для доступа к асинхронным портам

нет для PPP/PPTP/PPPoE/L2TP

service=exec для всех остальных случаев

login service=exec
ppp нет
remote-access service=raccess, protocol=none
ssh service=exec
cisco-like-ssh service=racсess, protocol=none для доступа к асинхронным портам

service=exec для доступа к конфигурации устройства без покомандной авторизации (только для локальных пользователей)

service=shell { … разрешённые команды … } для доступа к конфигурации устройства с покомандной авторизацией (в т.ч. для пользователей, не существующих локально)
http-server service=exec для доступа к конфигурации устройства без покомандной авторизации (только для локальных пользователей)

service=shell { … разрешённые команды … } для доступа к конфигурации устройства с покомандной авторизацией (в т.ч. для пользователей, не существующих локально)

Пример настройки сервера TACACS+. См. также примеры для пользователей, не существующих локально.

# You must configure tac_plus before use.  At a minimum, you need a server
# key and a user block, such as below.
#
# Please see tac_plus.conf(5) for more information.

key = nsg

host = 192.168.1.2 {
  key = nsg
}

# A user for reverse-telnet access to given ports

user = mypoopyreversetelnetuser {
  pap   = cleartext mypoopyreversetelnetpassword
  service = raccess {
    port = a2, a4
  }
}

# A user for administrative access:

group = admin {
       default service = permit
       service = exec {
         priv-lvl = 15
       }
}

user = mypoopyadminuser {
  pap = cleartext mypoopyadminpassword
  member = admin
}

При этом на устройстве NSG в узле system.users должны быть созданы пользователи с именами mypoopyreversetelnetuser и mypoopyadminuser, соответственно, и фиктивными паролями.

default	`service=raсcess, protocol=none`	для доступа к асинхронным портам
	нет	для PPP/PPTP/PPPoE/L2TP
	`service=exec`	для всех остальных случаев
login	`service=exec`
ppp	нет
remote-access	`service=raccess`, `protocol=none`
ssh	`service=exec`
cisco-like-ssh	`service=racсess, protocol=none`	для доступа к асинхронным портам
	`service=exec`	для доступа к конфигурации устройства без покомандной авторизации (только для локальных пользователей)
	`service=shell { … разрешённые команды … }`	для доступа к конфигурации устройства с покомандной авторизацией (в т.ч. для пользователей, не существующих локально)
http-server	`service=exec`	для доступа к конфигурации устройства без покомандной авторизации (только для локальных пользователей)
	`service=shell { … разрешённые команды … }`	для доступа к конфигурации устройства с покомандной авторизацией (в т.ч. для пользователей, не существующих локально)