Понятие "пользователя" и присущих ему атрибутов (домашняя директория, командная оболочка и т.п.) является одним из фундаментальных в архитектуре *NIX-подобных ОС, включая ОС Linux. Оно подразумевает, что пользователь определён локально на *NIX-хосте; в противном случае ОС технически не сможет обеспечить его работу. Это делает централизованную аутентификацию в значительной степени бессмысленной: проверить пароль пользователя можно на центральном сервере RADIUS или TACACS+, но при этом каждый пользователь всё равно должен иметь учётную запись на каждом хосте, на котором предполагается его работа. А если в системе сотни и тысячи хостов, которые каждый день добавляются и удаляются? И десятки или сотни сотрудников, которые постоянно поступают на работу, увольняются, растут по служебной лестнице, умирают, теряют доверие?
Стандартные средства ОС Linux не только не решают эту проблему, но и не предполагают её решения. В том числе, наличие локального пользователя обязательно даже в случае проключения в порты RS–232 без доступа к самому хосту — что является основной задачей для консольного сервера.
В ПО NSG Linux 2.1, под управлением которого работают устройства NSG, реализованы оригинальные фирменные разработки для этих целей, отсутствующие в общедоступных проектах с открытым кодом. Доступ без создания локальных учётных записей возможен в следующих случаях и при следующих ключевых настройках:
Вход в Web-интерфейс с централизованной аутентификацией и покомандной авторизацией по ТАСАCS+
services : http : : enable = true : : aaa-policy = "http-server" system : aaa : : http-server : : : 1 : : : : type = "tacacs" : : : : per-command-auth = true
- На сервере TACACS+ настроена аутентификация и покомандная авторизация пользователей (как минимум, "разрешено всё"). Работа в данном режиме без покомандной авторизации не предусмотрена.
Доступ по SSH к CLI устройства и к портам RS–232
port : aNUM : : encapsulation = "cisco-like-reverse-ssh" : : cisco-like-reverse-ssh : : : escape-char = "~" // рекомендуется services : cisco-like-ssh : : enable = true system : aaa : : cisco-like-ssh : : : 1 : : : : type = "tacacs" : : : : per-command-auth = true : : remote-access : : : 1 : : : : type = "tacacs" // или "radius"
- Вместо стандартного sshd в Linux используется модифицированный сервис cisco-like-ssh (на отдельном порту TCP, порты можно поменять местами).
- При подключении в формате Cisco с указанием номера порта
ssh user:line@host ... выполняется централизованная аутентификация и проключение в указанный порт, без входа в CLI устройства.
- Аутентификация выполняется по политике remote-access.
- На сервере TACACS+/RADIUS настроена аутентификация пользователей.
- При подключении без указания порта
ssh user@host ...
выполняется вход в CLI устройства с централизованной аутентификацией и (обязательно) покомандной авторизацией по ТАСАCS+.
- Аутентификация и авторизация выполняются по политике cisco-like-ssh.
- На сервере TACACS+ настроена аутентификация и покомандная авторизация пользователей (как минимум, "разрешено всё"). Работа в данном режиме без покомандной авторизации не предусмотрена.
- Оба варианта подключения могут использоваться совместно, т.е. один и тот же пользователь может работать как с асинхронными портами, так и с самим устройством.
Доступ по HTTPS к портам RS–232 с централизованной аутентификацией, без входа в CLI устройства
port : aNUM : : encapsulation = "web-terminal" : : web-terminal : : : escape-char = "~" // рекомендуется services : web-terminal : : enable = true system : aaa : : remote-access : : : 1 : : : : type = "tacacs" // или "radius"
- Аутентификация для сервиса web-terminal выполняется по политике remote-access.
- На сервере TACACS+/RADIUS настроена аутентификация пользователей.
Подробнее о настройке см. последующие параграфы данного раздела.
| © Network Systems Group 2015–2026 | Отдел документации |