Справка по NSG Linux: дерево команд

Что это такое?

Это политика аутентификации и авторизации для входа на устройство через Cisco-подобный сервер SSH.

Зачем это нужно?

Для контроля доступа на устройство. В отличие от стандартного сервиса SSH в ОС Linux, данная реализация в сочетании с TACACS+ обеспечивает доступ для пользователей, не определённых локально на устройстве. Для авторизации (определения полномочий) такого пользователя предусмотрены два варианта:

Авторизация на исполнение каждой команды в соответствии с правилами, заданными для данного пользователя на сервере TACACS+.
Авторизация по ролевой модели (в терминологии NSG) или уровням привилегий (в терминах Cisco) сообразно ролям, определённым на устройстве NSG.

Как это настроить?

Для добавления нового способа аутентификации в рамках данной политики используйте команды +, _new или _insert. Данный список является нумерованным и упорядочивается автоматически. Для удаления используйте команду - или _remove.

В зависимости от требуемого сервиса, поле service в конфигурации данного пользователя на сервере TACACS+ должно быть:

service = exec — для доступа к конфигурации устройства без покомандной авторизации. Запрашивается, если настроено per-command-auth=false. При этом:
- Для пользователей, существующих локально: на сервере не должен быть указан уровень привилегий/роль пользователя, поскольку ему уже назначена некоторая роль (или индивидуальное дерево конфигурации) на самом устройстве NSG. При этом для входа необходимо использовать пароль, заданный на сервере TACACS+, а не локально на устройстве.
- Для пользователей, не существующих локально: на сервере обязательно должен быть указан уровень привилегий/роль, и эта роль (созданная вручную или предустановленная admin, lvl-0 … lvl-14) должна существовать на устройстве и быть настроена в соответствии с желаемыми полномочиями. Не допускается только роль user. См. пример конфигурации сервера.
service = shell — для доступа к конфигурации устройства с покомандной авторизацией. Запрашивается, если настроено per-command-auth=true. Применимо для пользователей, не определённых локально. См. пример конфигурации сервера.

ПРИМЕЧАНИЕ. Во избежание путаницы с локальными и централизованными пользователями и паролями рекомендуется рассмотреть возможность входа для локальных пользователей (как правило, в такой ситуации это критически важные администраторы, ответственные за само функционирование данного устройства) через стандартный сервис SSH , работающий на отдельном порту TCP, с локальной аутентификацией.

Если пользователю необходим доступ как к портам, так и к конфигурации устройства, то в настройках TACACS+ необходимо указать два сервиса. Пример конфигурации TACACS+ для пользователя, который может работать с асинхронными портами, настраивать их и сохранять настройки:

user = usr2 {
    debug = ALL
    pap = clear psw2
    service = raccess {
    }
    service = shell {
        script = {
            if (cmd =~ / port\.a/) permit
        }
        cmd = write {
            permit .*
        }
    }
}

Что делать, если это не работает?

Проверить правильность записи имён и паролей.
Проверить настройки серверов RADIUS и TACACS+.
Проверить наличие маршрутов к серверам RADIUS, TACACS+ и обратно от них на данное устройство, их доступность по сети.
Смотреть журналы серверов RADIUS и TACACS+.