
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>

<meta http-equiv=Content-Type content="text/html; charset=iso-8859-1">

<meta name=Generator content="Microsoft Word 12 (filtered medium)">

<style>

<!--

 /* Font Definitions */

 @font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

pre

        {mso-style-priority:99;

        mso-style-link:"Préformaté HTML Car";

        margin:0cm;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Calibri","sans-serif";

        color:windowtext;}

span.PrformatHTMLCar

        {mso-style-name:"Préformaté HTML Car";

        mso-style-priority:99;

        mso-style-link:"Préformaté HTML";

        font-family:"Courier New";}

.MsoChpDefault

        {mso-style-type:export-only;}

@page Section1

        {size:612.0pt 792.0pt;

        margin:70.85pt 70.85pt 70.85pt 70.85pt;}

div.Section1

        {page:Section1;}

-->

</style>

<!--[if gte mso 9]><xml>

 <o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

 <o:shapelayout v:ext="edit">

  <o:idmap v:ext="edit" data="1" />

 </o:shapelayout></xml><![endif]-->

</head>


<body lang=FR link=blue vlink=purple>


<div class=Section1>


<p class=MsoNormal>Hi,<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>I would like to have a profil administrator on my openldap wich

allows administrator to authenticate on cisco and foundry equipment and enters

directly in Privileged EXEC level. So I read VSA attribute in dictionary.foundry

and dictionary.cisco. I created my profile in OpenLDAP and I am logging on

my cisco and see the reply log to see what is reply.<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>With this profil :<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'>dn:

cn=administrateur,ou=Profiles,dc=netplus,dc=fr<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'>objectClass:

radiusObjectProfile<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'>objectClass:

top<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'>objectClass:

radiusprofile<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'>radiusServiceType:

NAS-Prompt-User<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'>cn:

administrateur<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'>radiusVSA:

shell:priv-lvl=15<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'>radiusReplyItem:

"Foundry-Privilege-Level = 0"<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'>radiusReplyItem:

"Foundry-Command-String = *"<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'>radiusReplyItem:

"Foundry-Command-Exception-Flag = 0"<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'>radiusReplyItem:

"Foundry-INM-Privilege = 15"<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p>


<p class=MsoNormal>+ in ldap.attrmap I add<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>replyItem       $GENERIC$                      

radiusReplyItem<o:p></o:p></p>


<p class=MsoNormal>[…]<o:p></o:p></p>


<p class=MsoNormal>replyItem       Cisco-AVPair                    radiusVSA<o:p></o:p></p>


<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>I see in my log :<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>Fri Jun 12 12:01:07 2009<o:p></o:p></p>


<p class=MsoNormal>        Packet-Type = Access-Accept<o:p></o:p></p>


<p class=MsoNormal>        Reply-Message = "Utilisateur: fmehault, group:

Administrateur"<o:p></o:p></p>


<p class=MsoNormal>        Cisco-AVPair = "shell:priv-lvl=15"<o:p></o:p></p>


<p class=MsoNormal>        Service-Type = NAS-Prompt-User<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>With this profil :<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<pre>dn: cn=administrateur,ou=Profiles,dc=netplus,dc=fr<o:p></o:p></pre><pre>objectClass: radiusObjectProfile<o:p></o:p></pre><pre>objectClass: top<o:p></o:p></pre><pre>objectClass: radiusprofile<o:p></o:p></pre><pre>radiusServiceType: NAS-Prompt-User<o:p></o:p></pre><pre>cn: administrateur<o:p></o:p></pre><pre>radiusVSA: shell:priv-lvl=15<o:p></o:p></pre><pre>radiusVSA: 0<o:p></o:p></pre><pre>radiusVSA: 15<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre>


<p class=MsoNormal> + in ldap.attrmap I add<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>replyItem       Cisco-AVPair                                         radiusVSA<o:p></o:p></p>


<p class=MsoNormal>replyItem       Foundry-Privilege-Level                   radiusVSA<o:p></o:p></p>


<p class=MsoNormal>replyItem       Foundry-INM-Privilege                    radiusVSA<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>I see in my log :<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>Fri Jun 12 12:14:49 2009<o:p></o:p></p>


<p class=MsoNormal>        Packet-Type = Access-Accept<o:p></o:p></p>


<p class=MsoNormal>        Reply-Message = "Utilisateur: fmehault, group:

Administrateur"<o:p></o:p></p>


<p class=MsoNormal>        Foundry-INM-Privilege = AAA_pri_15<o:p></o:p></p>


<p class=MsoNormal>        Foundry-Privilege-Level = 15<o:p></o:p></p>


<p class=MsoNormal>        Cisco-AVPair = "shell:priv-lvl=15"<o:p></o:p></p>


<p class=MsoNormal>        Service-Type = NAS-Prompt-User<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>I don’t succeed to give good value for each attribute

with OpenLDAP, ldapattrmap, radiusVSA … In addition, I can’t to

have two radiusVSA attributes with the same value in OpenLDAP.<o:p></o:p></p>


<p class=MsoNormal>So I woul like to know if it is possible to have just one

profil with several attributes for different constructor (foundry, cisco,

fortinet …). Or I have to do a profil administratorCisco,

administratorFoundry, …<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>Thanks for your help in advance <o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>Regards,<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal>François Mehault<o:p></o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal><o:p> </o:p></p>


</div>


</body>


</html>