H3C交换机开启cisco ISE认证(来个懂ISE的)
答案:2 悬赏:0 手机版
解决时间 2021-11-30 23:43
- 提问者网友:你给我的爱
- 2021-11-30 02:12
H3C交换机开启cisco ISE认证(来个懂ISE的)
最佳答案
- 五星知识达人网友:蕴藏春秋
- 2021-11-30 02:49
ISE上是没有地方设置这些参数。
Radius本身的授权能提供结果要么是Permit 要么是Reject 。radius并不能控制你远程接入的level。权限是在设备本地定义或者设置的。
这里有两种解决方案:
1、在user interface 下直接指定接入的权限级别,如:privilege level 15,这样,用户通过对应的 user interface进入之后即可获得相应的权限级别。(15级是最高的权限,有一定的风险哈)
2、定义一个非15级的级别,然后关联一些必要的查询命令或者配置命令。给最高级别设置一个密码(网上查的是superpassword,就是敲system-view 的时候需要提供密码,h3c应该有类似的功能吧,类似cisco 的enable 密码)然后在user-interface中设置该级别为初始进入级别,所有人接入后有通用的权限,管理员通过system-view提升权限。
//具体的命令我这里没有,我接触的主要是思科的设备,对于h3c或者华为设备的命令行不是很熟悉。功能实现方面还得靠你自己查文档或者找厂家支持了。
还有一方法不太确定,cisco的tacacs+是支持权限控制的,可以在ise或者acs上面,设置对应的命令集合,然后给不同的人关联不同的命令集合,以此实现权限控制。(ISE可能需要license支持,还有就是,我不确定的值h3c的设备是不是支持tacacs+)
Radius本身的授权能提供结果要么是Permit 要么是Reject 。radius并不能控制你远程接入的level。权限是在设备本地定义或者设置的。
这里有两种解决方案:
1、在user interface 下直接指定接入的权限级别,如:privilege level 15,这样,用户通过对应的 user interface进入之后即可获得相应的权限级别。(15级是最高的权限,有一定的风险哈)
2、定义一个非15级的级别,然后关联一些必要的查询命令或者配置命令。给最高级别设置一个密码(网上查的是superpassword,就是敲system-view 的时候需要提供密码,h3c应该有类似的功能吧,类似cisco 的enable 密码)然后在user-interface中设置该级别为初始进入级别,所有人接入后有通用的权限,管理员通过system-view提升权限。
//具体的命令我这里没有,我接触的主要是思科的设备,对于h3c或者华为设备的命令行不是很熟悉。功能实现方面还得靠你自己查文档或者找厂家支持了。
还有一方法不太确定,cisco的tacacs+是支持权限控制的,可以在ise或者acs上面,设置对应的命令集合,然后给不同的人关联不同的命令集合,以此实现权限控制。(ISE可能需要license支持,还有就是,我不确定的值h3c的设备是不是支持tacacs+)
全部回答
- 1楼网友:不如潦草
- 2021-11-30 04:16
用ISE做设备管理的话,是需要ISE具备TACACS+的许可的,另外也需要设备添加TACACS+服务器地址指向ISE。然后在ISE中做设备权限下发
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯