H3C交换机开启cisco ISE认证(来个懂ISE的)
发布网友
发布时间:2022-04-23 23:07
共2个回答
热心网友
时间:2022-05-22 22:55
Radius本身的授权能提供结果要么是Permit 要么是Reject 。radius并不能控制你远程接入的level。权限是在设备本地定义或者设置的。
这里有两种解决方案:
1、在user interface 下直接指定接入的权限级别,如:privilege level 15,这样,用户通过对应的 user interface进入之后即可获得相应的权限级别。(15级是最高的权限,有一定的风险哈)
2、定义一个非15级的级别,然后关联一些必要的查询命令或者配置命令。给最高级别设置一个密码(网上查的是superpassword,就是敲system-view 的时候需要提供密码,h3c应该有类似的功能吧,类似cisco 的enable 密码)然后在user-interface中设置该级别为初始进入级别,所有人接入后有通用的权限,管理员通过system-view提升权限。
//具体的命令我这里没有,我接触的主要是思科的设备,对于h3c或者华为设备的命令行不是很熟悉。功能实现方面还得靠你自己查文档或者找厂家支持了。
还有一方法不太确定,cisco的tacacs+是支持权限控制的,可以在ise或者acs上面,设置对应的命令集合,然后给不同的人关联不同的命令集合,以此实现权限控制。(ISE可能需要license支持,还有就是,我不确定的值h3c的设备是不是支持tacacs+)
热心网友
时间:2022-05-23 00:13
