Bonjour a tous,
 
On m'a chargé de mettre en place un looking glass (LG) dans ma boite (ou je suis en stage), et je rencontre un soucis au niveau des authorisations.
En effet les routeurs ont été configuré pour que seulement en mode "enable" on puisse executer des commandes... donc impossible de faire de ping/traceroute/BGP.. sans passer par le mode enable et je me vois mal autoriser mon serveur LG a utiliser le mode enable...
 
donc j'ai cherché un peu et le problème serait a ce niveau je pense : (dans la conf des routeurs)
 
aaa authentication enable default enable
aaa authentication login default tacacs+ local
aaa authorization exec default tacacs+ none
aaa accounting commands 0 default start-stop tacacs+
aaa accounting exec default start-stop tacacs+
aaa accounting system default start-stop tacacs+
 
Une idée sur la modif a ajouter pour qu'un compte X puisse executer des commandes basiques ?
 
Ensuite j'hesite a utiliser un compte local ou un compte sur le tacas+ en read only, qu'en pensez vous ? (la connection entre le serveur LG et les routeurs sera en ssh)
(Read Only level - Allows access to the Privileged EXEC mode and CONFIG mode but only with read access)
 
merci

j'ai pu résoudre mon problème comme ceci :
en configurant le compte dans TACACS sans toucher aux aaa.
 
user = lookingglass {
login = *******************
name = "looking glass"
service= exec { priv-lvl = 1 }
cmd = show
{
permit "ip"
deny .*
}
cmd = traceroute { permit .* }
cmd = ping { permit .* }
cmd = exit { permit .* }
}
 
mais le problème c'est que je n'arrive pas a restrictionner le compte a n'utiliser que show ip... j'ai acces a tous les show malgres le deny .*
 
autre question, comment bloquer l'utilisateur a utiliser la commande enable ?
 
merci

up)
faut il rajouter dans la conf des routeurs  :
 
Command authorization (TACACS+) ->
aaa authorization commands <privilege> default <method>
 
soit :
aaa authorization commands 1 default tacacs+ local
 
une petite reponse ??
 
merci