<div dir="ltr">Have you considered using the after authentication "do_auth.py?"</div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, May 15, 2017 at 11:38 AM, Munroe Sollog <span dir="ltr"><<a href="mailto:mus3@lehigh.edu" target="_blank">mus3@lehigh.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I am using tacacs to aaa nexus equipment and now a firepower chassis<br>
manager.  My 'admins' group is configured like so:<br>
<br>
group = admins {<br>
        default service = permit<br>
        service = exec {<br>
             priv-lvl = 15<br>
#           optional shell:roles = "admin network-admin"<br>
             optional shell:roles = "network-admin"<br>
             optional shell:roles = "admin"<br>
             }<br>
        service = AMP {<br>
            role = "tacacs"<br>
        }<br>
        service = gigamon {<br>
        }<br>
<br>
}<br>
<br>
The problem is the nexus equipment uses the network-admin role while the<br>
firepower chassis manager uses the admin role.  While I can probably create<br>
one role on the other box, I was wondering if there was an easier way to<br>
resolve this issue.  As you see I have tried a space separated list as well<br>
as individual statements.<br>
<br>
For further reference here is the documentation on the firepower tacacs<br>
config:<br>
<br>
<a href="http://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos201/web-config/b_GUI_ConfigGuide_FXOS_201/user_management.html#concept_2770BFB3259042F5A4420595A0A6946C" rel="noreferrer" target="_blank">http://www.cisco.com/c/en/us/<wbr>td/docs/security/firepower/<wbr>fxos/fxos201/web-config/b_GUI_<wbr>ConfigGuide_FXOS_201/user_<wbr>management.html#concept_<wbr>2770BFB3259042F5A4420595A0A694<wbr>6C</a><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
<br>
--<br>
Munroe Sollog<br>
Senior Network Engineer<br>
<a href="mailto:munroe@lehigh.edu">munroe@lehigh.edu</a><br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <<a href="http://www.shrubbery.net/pipermail/tac_plus/attachments/20170515/6acdab2b/attachment.html" rel="noreferrer" target="_blank">http://www.shrubbery.net/<wbr>pipermail/tac_plus/<wbr>attachments/20170515/6acdab2b/<wbr>attachment.html</a>><br>
______________________________<wbr>_________________<br>
tac_plus mailing list<br>
<a href="mailto:tac_plus@shrubbery.net">tac_plus@shrubbery.net</a><br>
<a href="http://www.shrubbery.net/mailman/listinfo/tac_plus" rel="noreferrer" target="_blank">http://www.shrubbery.net/<wbr>mailman/listinfo/tac_plus</a><br>
</font></span></blockquote></div><br></div>

<br>
<br>E-Mail to and from me, in connection with the transaction <br>of public business, is subject to the Wyoming Public Records <br>Act and may be disclosed to third parties.<br>