Installatioun an Konfiguratioun vun TACACS + mat Cisco Router op Debian 8 Jessie

Technologie haut hänkt staark op Netzwierkausrüstung a richteg Konfiguratioun vun där Netzwierkausrüstung of. D'Administrateuren hunn d'Aufgab ze garantéieren datt d'Konfiguratiounsännerunge net nëmme grëndlech virun der Implementatioun getest ginn, awer och datt all Konfiguratiounsännerunge vun Individuen gemaach ginn, déi autoriséiert sinn Ännerungen ze maachen, souwéi sécherzestellen datt d'Ännerunge protokolléiert sinn.

Dëse Sécherheetsprinzip ass bekannt als AAA (Triple-A) oder Authentifikatioun, Autorisatioun a Comptabilitéit. Et ginn zwee ganz prominent Systemer déi AAA Funktionalitéit ubidden fir Administrateuren fir den Zougang zu Geräter ze sécheren an d'Netzwierker déi dës Apparater servéieren.

RADIUS (Remote Access Dial-In User Service) an TACACS+ (Terminal Access Controller Access-Control System Plus).

Radius gëtt traditionell benotzt fir d'Benotzer ze authentifizéieren fir Zougang zum Netz ze kréien deen am Géigesaz zum TACACS ass, datt TACACS traditionell fir Apparatverwaltung benotzt gëtt. Ee vun de groussen Ënnerscheeder tëscht dësen zwee Protokoller ass d'Fäegkeet fir TACACS d'AAA Funktiounen an onofhängeg Funktiounen ze trennen.

De Virdeel vun der TACACS Trennung vun den AAA Funktiounen ass datt d'Fäegkeet vun engem Benotzer bestëmmte Kommandoen auszeféieren kann kontrolléiert ginn. Dëst ass ganz avantagéis fir Organisatiounen déi Netzwierkpersonal oder aner IT Administrateure mat ënnerschiddleche Kommandoprivilegien op engem ganz granuläre Niveau wëllen ubidden.

Dësen Artikel wäert duerch d'Opstellung vun engem Debian System goen fir als TACACS+ System ze handelen.

  1. Debian 8 installéiert a konfiguréiert mat Netzwierkverbindung. Liest w.e.g. dësen Artikel wéi Dir Debian 8 installéiert
  2. Cisco Netzwierkschalter 2940 (Déi meescht aner Cisco Apparater funktionnéieren och, awer d'Befehle vum Switch/Router kënne variéieren).

Installatioun vun der TACACS+ Software op Debian 8

Den éischte Schrëtt fir dësen neien TACACS Server opzestellen ass d'Software vun de Repositories ze kréien. Dëst ass einfach mat der Benotzung vum 'apt' Kommando erreecht.

# apt-get install tacacs+

Deen uewe genannte Kommando wäert de Serverservice op Port 49 installéieren an starten. Dëst kann mat verschiddenen Utilities bestätegt ginn.

# lsof -i :49
# netstat -ltp | grep tac

Dës zwee Kommandoen sollen eng Zeil zréckginn déi beweist datt TACACS op Hafen 49 op dësem System lauschtert.

Zu dësem Zäitpunkt lauschtert TACACS no Verbindungen op dëser Maschinn. Elo ass et Zäit den TACACS Service a Benotzer ze konfiguréieren.

TACACS Service a Benotzer konfiguréieren

Et ass allgemeng eng gutt Iddi fir Servicer u spezifesch IP Adressen ze binden wann de Server zoufälleg verschidde Adressen huet. Fir dës Aufgab z'erreechen, kënnen d'Standard-Daemonoptioune geännert ginn fir eng IP Adress ze spezifizéieren.

# nano /etc/default/tacacs+

Dëse Fichier spezifizéiert all Daemon-Astellungen, déi den TACACS-System soll starten. D'Standardinstallatioun spezifizéiert nëmmen d'Konfiguratiounsdatei. Andeems Dir en '-B' Argument fir dës Datei bäidréit, kann eng spezifesch IP Adress fir TACACS benotzt ginn fir ze lauschteren.

DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Besonnesch Notiz an Debian: Aus iergendengem Grond probéiert den TACACS+ Service nei ze starten fir déi nei Daemonoptiounen ze liesen ass net erfollegräich (iwwer de Service tacacs_plus Restart).

D'Thema hei schéngt ze sinn wann TACACS iwwer den Init Skript gestart gëtt, ass de PID statesch op \PIDFILE=/var/run/tac_plus.pid gesat, awer wann den \-B X.X.X.X als Daemon-Optioun uginn ass, den Numm vun der Pid Datei gëtt geännert op \/var/run/tac_plus.pid.X.X.X.X.

Ech sinn net ganz sécher ob dëst e Feeler ass oder net, awer fir d'Situatioun temporär ze bekämpfen, kann een de PIDFILE manuell am Init Skript setzen andeems Dir d'Linn op \PIDFILE=/var/run/tac_plus.pid.X.X.X.X ännert. wou X.X.X.X d'IP Adress ass TACACS soll nolauschteren an dann de Service starten mat:

# service tacacs_plus start

Beim Neistart vum Service kann de Kommando lsof erëm benotzt ginn fir ze bestätegen datt den TACACS Service op der korrekter IP Adress lauschtert.

# lsof -i :49

Wéi uewen gesi, lauschtert TACACS op eng IP Adress op enger spezifescher IP Adress wéi an der TACACS Standarddatei hei uewen gesat. Zu dësem Zäitpunkt mussen d'Benotzer a spezifesch Kommandosets erstallt ginn.

Dës Informatioun gëtt vun enger anerer Datei geréiert: '/etc/tacacs+/tac_plus.conf'. Öffnen dës Datei mat engem Texteditor fir déi entspriechend Ännerungen ze maachen.

# nano /etc/tacacs+/tac_plus.conf

Dëse Fichier ass wou all TACACS Spezifikatioune solle wunnen (Benotzer Permissiounen, Zougangskontrolllëschten, Hostschlësselen, etc). Déi éischt Saach déi erstallt muss ginn ass e Schlëssel fir d'Netzwierkgeräter.

Et gëtt vill Flexibilitéit an dësem Schrëtt. Een eenzege Schlëssel kann fir all Netzwierkapparater konfiguréiert ginn oder verschidde Schlëssele kënnen pro Apparat konfiguréiert ginn. D'Optioun ass un de Benotzer, awer dëse Guide benotzt een eenzege Schlëssel fir d'Einfachheet.

key = "super_secret_TACACS+_key"

Wann e Schlëssel konfiguréiert ass, solle Gruppe gebaut ginn, déi d'Permissiounen bestëmmen, déi d'Benotzer spéider zougewisen ginn. Gruppen erstellen mécht d'Delegatioun vun Permissiounen vill méi einfach. Drënner ass e Beispill fir voll Administrateur Rechter ze zouzeschreiwen.

group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. De Gruppnumm gëtt duerch d'Linn \group = admins festgeluegt, mat Administrateuren als Gruppnumm.
  2. D'Standardservice = Permis Linn weist datt wann e Kommando net explizit refuséiert gëtt, dann implizit erlaabt.
  3. De \service = exec { priv-lvl = 15 } erlaabt Privilegniveau 15 am Exec Modus op engem Cisco Apparat (Privilegniveau 15 ass deen héchsten op Cisco Ausrüstung).

Elo muss e Benotzer un d'Administratiounsgrupp zougewisen ginn.

user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. D'Strof \User = Rob erlaabt e Benotzernumm vum Rob Zougang zu enger Ressource.
  2. De \Member = Admins seet TACACS+ op de fréiere Grupp genannt Admins ze referenzéieren fir eng Lëscht vun deem wat dëse Benotzer autoriséiert ass ze maachen.
  3. Déi lescht Zeil, \login = des mjth124WPZapY ass en des verschlësselte Passwuert fir dëse Benotzer ze authentifizéieren (fillt gratis e Cracker ze benotzen fir dëst super \komplex\ Passwuert Beispill erauszefannen)!

Wichteg: Et ass allgemeng eng bescht Praxis fir verschlësselte Passwierder an dës Datei ze placéieren anstatt Kloertext, well et e bësse Sécherheet bäidréit am Fall wou een dës Datei liest an net onbedéngt Zougang sollt hunn.

Eng gutt präventiv Moossnam fir dëst ass op d'mannst Welt Lieszougang op der Konfiguratiounsdatei ze läschen. Dëst kann duerch de folgende Kommando erreecht ginn:

# chmod o-r /etc/tacacs+/tac_plus.conf
# service tacacs_plus reload

Zu dësem Zäitpunkt ass d'Server Säit prett fir Verbindunge vu Netzwierkapparater. Loosst eis elo op de Cisco Schalter goen a konfiguréieren fir mat dësem Debian TACACS+ Server ze kommunizéieren.