TACACS+ diegimas ir konfigūravimas su Cisco Router Debian 8 Jessie

Šiandienos technologijos labai priklauso nuo tinklo įrangos ir tinkamos tos tinklo įrangos konfigūracijos. Administratoriams pavesta užtikrinti, kad konfigūracijos pakeitimai būtų ne tik nuodugniai patikrinti prieš įgyvendinant, bet ir kad bet kokius konfigūracijos pakeitimus atliktų asmenys, turintys teisę atlikti pakeitimus, taip pat užtikrinti, kad pakeitimai būtų registruojami.

Šis saugos principas žinomas kaip AAA (trigubas A) arba autentifikavimas, autorizavimas ir apskaita. Yra dvi labai svarbios sistemos, siūlančios AAA funkcijas administratoriams, kad būtų apsaugota prieiga prie įrenginių ir tinklų, kuriuos tie įrenginiai aptarnauja.

RADIUS (nuotolinės prieigos prisijungimo prie telefono paslauga) ir TACACS+ (terminalo prieigos valdiklio prieigos valdymo sistema Plus).

Spindulys tradiciškai naudojamas autentifikuoti naudotojus, kad jie galėtų pasiekti tinklą, o tai skiriasi nuo TACACS, nes TACACS tradiciškai naudojamas įrenginio administravimui. Vienas iš didelių skirtumų tarp šių dviejų protokolų yra TACACS galimybė atskirti AAA funkcijas į nepriklausomas funkcijas.

TACACS AAA funkcijų atskyrimo pranašumas yra tas, kad galima valdyti vartotojo gebėjimą vykdyti tam tikras komandas. Tai labai naudinga organizacijoms, norinčioms suteikti tinklo darbuotojams ar kitiems IT administratoriams skirtingas komandų teises labai detaliu lygiu.

Šiame straipsnyje bus paaiškinta, kaip nustatyti Debian sistemą, kuri veiktų kaip TACACS+ sistema.

Aplinkos sąranka

  1. Įdiegta Debian 8 ir sukonfigūruota naudojant tinklo ryšį. Perskaitykite šį straipsnį apie tai, kaip įdiegti Debian 8
  2. „Cisco“ tinklo jungiklis 2940 (Dauguma kitų „Cisco“ įrenginių taip pat veiks, tačiau jungiklio/maršruto parinktuvo komandos gali skirtis).

TACACS+ programinės įrangos diegimas Debian 8

Pirmasis žingsnis nustatant šį naują TACACS serverį bus programinės įrangos įsigijimas iš saugyklų. Tai lengva padaryti naudojant komandą „apt“.


apt-get install tacacs+

Aukščiau pateikta komanda įdiegs ir paleis serverio paslaugą 49 prievade. Tai gali būti patvirtinta naudojant keletą komunalinių paslaugų.


lsof -i :49
netstat -ltp | grep tac

Šios dvi komandos turėtų grąžinti eilutę, rodančią, kad TACACS klausosi šios sistemos prievado 49.

Šiuo metu TACACS klausosi šio įrenginio ryšių. Dabar laikas konfigūruoti TACACS paslaugą ir vartotojus.

TACACS paslaugos ir vartotojų konfigūravimas

Paprastai patartina susieti paslaugas su konkrečiais IP adresais, jei serveris turi kelis adresus. Norint atlikti šią užduotį, numatytosios demono parinktys gali būti modifikuotos, kad būtų nurodytas IP adresas.


nano /etc/default/tacacs+

Šiame faile nurodomi visi demono nustatymai, kuriuos TACACS sistema turi paleisti. Numatytasis diegimas nurodys tik konfigūracijos failą. Prie šio failo pridėjus argumentą „-B“, TACACS gali klausytis konkretaus IP adreso.


DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Speciali pastaba sistemoje Debian: dėl tam tikrų priežasčių bandymas iš naujo paleisti TACACS+ paslaugą, kad būtų perskaitytos naujos demono parinktys, nepavyksta (per paslaugą tacacs_plus paleisti iš naujo).

Atrodo, kad problema kyla, kai TACACS paleidžiamas naudojant init scenarijų, PID statiškai nustatomas į PIDFILE=/var /run/tac_plus.pid ” tačiau kai “-B X.X.X.X ” nurodoma kaip demono parinktis, pid failo pavadinimas pakeičiamas į “/var/run /tac_plus.pid.X.X.X.X ”.

Nesu visiškai tikras, ar tai klaida, ar ne, bet norint laikinai kovoti su situacija, galima rankiniu būdu nustatyti PIDFILE scenarijuje init, pakeitus eilutę į "PIDFILE=/var/run/tac_plus.pid.X.X.X.X" kur X.X.X.X yra IP adresas, kurį TACACS turėtų klausytis ir pradėti paslaugą:


service tacacs_plus start

Iš naujo paleidus paslaugą, lsof komanda gali būti naudojama dar kartą patvirtinant, kad TACACS paslauga klausosi teisingo IP adreso.


lsof -i :49

Kaip matyti aukščiau, TACACS klausosi IP adreso konkrečiame IP adresu, kaip nustatyta anksčiau esančiame TACACS numatytųjų faile. Šiuo metu reikia sukurti vartotojus ir konkrečius komandų rinkinius.

Šią informaciją tvarko kitas failas: „/etc/tacacs+/tac_plus.conf“. Atidarykite šį failą naudodami teksto rengyklę, kad atliktumėte atitinkamus pakeitimus.


nano /etc/tacacs+/tac_plus.conf

Šiame faile turi būti visos TACACS specifikacijos (naudotojo leidimai, prieigos kontrolės sąrašai, prieglobos raktai ir kt.). Pirmas dalykas, kurį reikia sukurti, yra tinklo įrenginių raktas.

Šiame žingsnyje yra daug lankstumo. Galima sukonfigūruoti vieną raktą visiems tinklo įrenginiams arba kelis raktus kiekvienam įrenginiui. Parinktis priklauso nuo vartotojo, tačiau šiame vadove bus naudojamas vienas klavišas, kad būtų paprasčiau.


key = "super_secret_TACACS+_key"

Sukonfigūravus raktą, turėtų būti sukurtos grupės, kurios nustato leidimus, kurie naudotojams bus priskirti vėliau. Sukūrus grupes, leidimų delegavimas yra daug lengvesnis. Žemiau pateikiamas visų administratoriaus teisių priskyrimo pavyzdys.


group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. Grupės pavadinimas nustatomas pagal eilutę „group=admins“, o administratoriai yra grupės pavadinimas.
  2. Eilute „numatytoji paslauga=leidimas“ nurodo, kad jei komanda nėra aiškiai uždrausta, tada netiesiogiai ją leiskite.
  3. service=exec { priv-lvl=15 }“ suteikia privilegijų lygį 15 vykdymo režimu Cisco įrenginyje (15 privilegijų lygis yra aukščiausias Cisco įranga).

Dabar vartotojas turi būti priskirtas administratoriaus grupei.


user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. Strofa "user=rob" leidžia robo naudotojo vardui pasiekti tam tikrus išteklius.
  2. Narys=administratoriai nurodo TACACS+ kreiptis į ankstesnę grupę, vadinamą administratoriais, kad pateiktų sąrašą, ką šis vartotojas yra įgaliotas daryti.
  3. Paskutinė eilutė “login=des mjth124WPZapY ” yra užšifruotas slaptažodis, skirtas šiam vartotojui autentifikuoti (nesivaržykite naudoti krekerį, kad išsiaiškintumėte šį itin „sudėtingą“ slaptažodžio pavyzdį)!

Svarbu: paprastai geriausia praktika šiame faile dėti šifruotus slaptažodžius, o ne paprastą tekstą, nes tai suteikia šiek tiek saugumo, jei kas nors turėtų tai perskaityti failą ir nebūtinai turi turėti prieigą.

Gera prevencinė priemonė tam yra bent jau pašalinti pasaulio skaitymo prieigą prie konfigūracijos failo. Tai galima padaryti naudojant šią komandą:


chmod o-r /etc/tacacs+/tac_plus.conf
service tacacs_plus reload

Šiuo metu serverio pusė yra paruošta jungtims iš tinklo įrenginių. Dabar pereikime prie Cisco jungiklio ir sukonfigūruokite jį taip, kad jis bendrautų su šiuo Debian TACACS+ serveriu.