<div>Ooh!  I'll try the LDAP-Group.  wrt the Juniper-Local-User-Name VSA:</div>
<div> </div>
<div>Once authenticated against LDAP the user is mapped to the NAS device where there is a username called tier3 (or whatever you called it.  Could be superduck).  That username is matched against a class which defines a specific set of available commands.  The default classes on a juniper router and switch (out of the box) are tier1 (read-only), tier2 (show and some configure commands) and tier3 (or superuser).  The audits on both the NAS and in the radius radacct log show the User-Name value as the LDAP uid.  When a user types a command such as 'edit' the NAS returns a Juniper-Interactive-Command value = 'edit'.  In this way we have a full record of every command each user types on any Juniper device in our accounting logs.  Doing this provides very granular control over what users have what permisisons and provides a mechanism for tracking, troubleshooting and accountability.</div>

<div> </div>
<div>Thanks Alan,</div>
<div>N<br><br></div>
<div class="gmail_quote">On Thu, Jul 29, 2010 at 11:35 AM, Alan DeKok <span dir="ltr"><<a href="mailto:aland@deployingradius.com">aland@deployingradius.com</a>></span> wrote:<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">
<div class="im">Natr Brazell wrote:<br>> I am looking for information on grouping users into profiles/groups.<br>> I've searched around the FAQ's and docs but not finding a clear<br>> picture.  I've found how to associate a user with a group of NAS's.<br>
<br></div> See "man rlm_passwd"  It can be used to create arbitrary groups,<br>including groups of users.<br>
<div class="im"><br>> Here's the scenario.  There is a specfic VSA from Juniper called<br>> Juniper-Local-User-Name.  This gets mapped to a locally defined profile<br>> on the NAS.  In the users file I have the following:<br>
><br>> bob.smith   Juniper-Local-User-Name = "tier3",<br><br></div> What does that do?<br>
<div class="im"><br>> So to the point, rather than defining each user with the same parameters<br>> every time, can I create a group, for instance TIER3, and associate<br>> User-Name's above to the group.  And if so how or point me to some<br>
> specific examples.<br>><br>> I am using LDAP also so if there is an LDAP solution same question.  Howto?<br><br></div> Put the users into an LDAP group, and use LDAP-Group checking:<br><br>DEFAULT   LDAP-Group == "tier2"<br>

<div>
<div></div>
<div class="h5">       Juniper-Deny-Commands "(show system alarms)|(show system software)"<br><br></div></div><font color="#888888"> Alan DeKok.<br>-<br>List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</font></blockquote></div><br>