Actualmente estoy implementando TACACS + con un dispositivo Cisco, uso un servidor TACACS desde aquí: enlace
Mi situación es: quiero permitir que un usuario configure mi enrutador pero solo para una interfaz específica, es decir, para gigabitethernet0 / 0. Después de llegar al enrutador (config-if) # ese usuario puede hacer lo que quiera con esa interfaz, pero no puede cambiar a otra interfaz ni cambiar la configuración en el enrutador (config) #.
Hasta ahora mi configuración en tac_plus.conf es así:
#limited admin group = limitedadmin {
default service = deny
service = shell {
priv-lvl = 15
}
cmd = configure {
permit terminal
}
cmd = interface {
permit "GigabitEthernet 0/0"
}}
Y esta es la configuración de Cisco:
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login telnet group tacacs+ local
aaa authentication login lokal local enable
aaa authorization config-commands
aaa authorization exec default group tacacs+ local
aaa authorization exec telnet group tacacs+
aaa authorization commands 1 default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
Pero con esto, no puedo permitir específicamente a ese usuario en config-if sin permitirle que configure también en router (config).
¿Es posible mi escenario utilizando TACACS +?