Vyhledávání na webu

Instalace a konfigurace TACACS+ s Cisco Routerem na Debian 8 Jessie

Technologie dnes silně závisí na síťovém vybavení a správné konfiguraci tohoto síťového vybavení. Administrátoři mají za úkol zajistit, aby změny konfigurace byly před implementací nejen důkladně otestovány, ale také aby jakékoli změny konfigurace prováděli jednotlivci, kteří jsou oprávněni provádět změny, a také zajistit, aby byly změny zaznamenány.

Tento princip zabezpečení je známý jako AAA (Triple-A) nebo Autentizace, Autorizace a Účetnictví. Existují dva velmi prominentní systémy, které správcům nabízejí funkcionalitu AAA pro zabezpečení přístupu k zařízením a sítím, kterým tato zařízení slouží.

RADIUS (uživatelská služba vzdáleného přístupu vytáčením) a TACACS+ (kontrolér přístupu k terminálu Access-Control System Plus).

Radius se tradičně používá k ověřování uživatelů pro přístup k síti, což je na rozdíl od TACACS v tom, že TACACS se tradičně používá pro správu zařízení. Jedním z velkých rozdílů mezi těmito dvěma protokoly je schopnost TACACS oddělit funkce AAA do nezávislých funkcí.

Výhodou TACACS oddělení funkcí AAA je to, že může být řízena schopnost uživatele provádět určité příkazy. To je velmi výhodné pro organizace, které chtějí poskytnout síťovému personálu nebo jiným správcům IT různá příkazová oprávnění na velmi podrobné úrovni.

Tento článek vás provede nastavením systému Debian, aby fungoval jako systém TACACS+.

Nastavení prostředí

  1. Debian 8 nainstalován a nakonfigurován se síťovým připojením. Přečtěte si prosím tento článek o tom, jak nainstalovat Debian 8
  2. Síťový přepínač Cisco 2940 (většina ostatních zařízení Cisco bude fungovat také, ale příkazy na přepínači/routeru se mohou lišit).

Instalace softwaru TACACS+ na Debian 8

Prvním krokem při nastavení tohoto nového serveru TACACS bude získání softwaru z repozitářů. To lze snadno provést pomocí příkazu ‘apt‘.


apt-get install tacacs+

Výše uvedený příkaz nainstaluje a spustí službu serveru na portu 49. To lze potvrdit několika utilitami.


lsof -i :49
netstat -ltp | grep tac

Tyto dva příkazy by měly vrátit řádek, který indikuje, že TACACS naslouchá na portu 49 v tomto systému.

V tuto chvíli TACACS naslouchá připojení na tomto počítači. Nyní je čas nakonfigurovat službu TACACS a uživatele.

Konfigurace služby TACACS a uživatelů

Obecně je dobré svázat služby s konkrétními IP adresami, pokud má server více adres. K provedení tohoto úkolu lze upravit výchozí volby démona tak, aby specifikovaly IP adresu.


nano /etc/default/tacacs+

Tento soubor specifikuje všechna nastavení démona, který by měl systém TACACS spustit. Výchozí instalace určí pouze konfigurační soubor. Přidáním argumentu ‘-B‘ do tohoto souboru lze použít konkrétní IP adresu, aby TACACS naslouchal.


DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Zvláštní poznámka v Debianu: Z nějakého důvodu se pokus o restartování služby TACACS+ za účelem načtení možností nového démona nezdařil (prostřednictvím služby tacacs_plus restartovat).

Zdá se, že problém nastává, když je TACACS spuštěn pomocí skriptu init, PID je staticky nastaven na “PIDFILE=/var /run/tac_plus.pid “ když je však jako volba démona zadáno „-B X.X.X.X“, název souboru pid se změní na “/var/run /tac_plus.pid.X.X.X.X “.

Nejsem si úplně jistý, zda se jedná o chybu nebo ne, ale pro dočasné řešení situace lze ručně nastavit PIDFILE ve skriptu init změnou řádku na “PIDFILE=/var/run/tac_plus.pid.X.X.X.X” kde X.X.X.X je IP adresa, na které by měl TACACS naslouchat a poté spustit službu s:


service tacacs_plus start

Po restartování služby lze příkaz lsof znovu použít k potvrzení, že služba TACACS naslouchá na správné IP adrese.


lsof -i :49

Jak je vidět výše, TACACS naslouchá na IP adrese na konkrétní IP adrese, jak je nastaveno v souboru výchozích nastavení TACACS výše. V tomto okamžiku je třeba vytvořit uživatele a specifické sady příkazů.

Tyto informace jsou spravovány jiným souborem: „/etc/tacacs+/tac_plus.conf“. Otevřete tento soubor pomocí textového editoru a proveďte příslušné úpravy.


nano /etc/tacacs+/tac_plus.conf

V tomto souboru by měly být umístěny všechny specifikace TACACS (uživatelská oprávnění, seznamy řízení přístupu, klíče hostitele atd.). První věc, kterou je třeba vytvořit, je klíč pro síťová zařízení.

V tomto kroku je velká flexibilita. Pro všechna síťová zařízení lze nakonfigurovat jeden klíč nebo pro každé zařízení lze nakonfigurovat více klíčů. Možnost je na uživateli, ale tato příručka bude pro jednoduchost používat jeden klíč.


key = "super_secret_TACACS+_key"

Jakmile je klíč nakonfigurován, měly by být vytvořeny skupiny, které určují oprávnění, která budou uživatelům přidělena později. Vytváření skupin výrazně usnadňuje delegování oprávnění. Níže je uveden příklad přiřazení úplných administrátorských práv.


group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. Název skupiny je určen řádkem „group=admins “, přičemž název skupiny je admin.
  2. Řádek „výchozí služba=povolení“ označuje, že pokud není příkaz výslovně odepřen, pak jej implicitně povolíte.
  3. service=exec { priv-lvl=15 } “ umožňuje úroveň oprávnění 15 v režimu exec na zařízení Cisco (úroveň oprávnění 15 je nejvyšší na zařízení Cisco).

Nyní je třeba uživatele přiřadit do skupiny administrátorů.


user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. Stanza “user=rob ” umožňuje uživatelskému jménu rob přístup k nějakému zdroji.
  2. „člen=admins“ říká TACACS+, aby odkazoval na předchozí skupinu nazvanou admin, kde je uveden seznam toho, co je tento uživatel oprávněn dělat.
  3. Poslední řádek, “login=des mjth124WPZapY “ je zašifrované heslo, které má tento uživatel ověřit (neváhejte použít cracker, abyste zjistili tento super „složitý“ příklad hesla)!

Důležité: Obecně je osvědčeným postupem vkládat do tohoto souboru zašifrovaná hesla, nikoli do prostého textu, protože to zvyšuje mírné zabezpečení pro případ, že by si to někdo přečetl soubor a nemusí mít nutně přístup.

Dobrým preventivním opatřením je alespoň odstranit přístup pro čtení ke světovému konfiguračnímu souboru. To lze provést pomocí následujícího příkazu:


chmod o-r /etc/tacacs+/tac_plus.conf
service tacacs_plus reload

V tomto okamžiku je serverová strana připravena pro připojení ze síťových zařízení. Pojďme nyní k přepínači Cisco a nakonfigurujte jej pro komunikaci s tímto serverem Debian TACACS+.