Weboldal keresés

A TACACS+ telepítése és konfigurálása Cisco Routerrel Debian 8 Jessie rendszeren

A mai technológia nagymértékben függ a hálózati berendezésektől és a hálózati berendezések megfelelő konfigurációjától. Az adminisztrátorok feladata annak biztosítása, hogy a konfigurációs változtatásokat ne csak alaposan teszteljék a megvalósítás előtt, hanem azt is, hogy a konfigurációs módosításokat olyan személyek végezzék el, akik jogosultak változtatásokra, valamint gondoskodniuk kell a változtatások naplózásáról is.

Ez a biztonsági elv AAA (Triple-A) vagy Authentication, Authorization és Accounting néven ismert. Két nagyon kiemelkedő rendszer kínál AAA-funkciókat a rendszergazdák számára az eszközökhöz és az általuk kiszolgált hálózatokhoz való biztonságos hozzáférés érdekében.

RADIUS (Remote Access Dial-In User Service) és TACACS+ (Terminal Access Controller Access-Control System Plus).

A Radiust hagyományosan a felhasználók hálózathoz való hozzáférésének hitelesítésére használják, ami ellentétben áll a TACACS-szal, mivel a TACACS-t hagyományosan az eszközök adminisztrációjára használják. Az egyik nagy különbség e két protokoll között az, hogy a TACACS képes az AAA-funkciókat független funkciókra szétválasztani.

Az AAA funkciók TACACS szétválasztásának előnye, hogy a felhasználó bizonyos parancsok végrehajtási képessége szabályozható. Ez nagyon előnyös azoknak a szervezeteknek, amelyek a hálózati személyzetet vagy más IT-adminisztrátort kívánják különböző parancsi jogosultságokkal ellátni, nagyon részletes szinten.

Ez a cikk végigvezeti a Debian rendszer beállítását, amely TACACS+ rendszerként működik.

Környezet beállítása

  1. Debian 8 telepítve és hálózati csatlakozással konfigurálva. Kérjük, olvassa el ezt a cikket a Debian 8 telepítéséről
  2. Cisco hálózati switch 2940 (A legtöbb Cisco eszköz is működik, de a switch/router parancsai eltérőek lehetnek).

A TACACS+ szoftver telepítése Debian 8 rendszeren

Az új TACACS szerver beállításának első lépése a szoftver beszerzése lesz a tárolókból. Ez könnyen megvalósítható az 'apt' paranccsal.


apt-get install tacacs+

A fenti parancs telepíti és elindítja a szerverszolgáltatást a 49-es porton. Ez több segédprogrammal is megerősíthető.


lsof -i :49
netstat -ltp | grep tac

Ennek a két parancsnak egy sort kell visszaadnia, amely azt jelzi, hogy a TACACS a rendszer 49-es portján figyel.

Ezen a ponton a TACACS a kapcsolatokat figyeli ezen a gépen. Itt az ideje, hogy konfigurálja a TACACS szolgáltatást és a felhasználókat.

A TACACS szolgáltatás és a felhasználók konfigurálása

Általában jó ötlet a szolgáltatásokat meghatározott IP-címekhez kötni, ha a szervernek több címe van. Ennek a feladatnak a végrehajtásához az alapértelmezett démonbeállítások módosíthatók az IP-cím megadásához.


nano /etc/default/tacacs+

Ez a fájl megadja az összes démonbeállítást, amelyet a TACACS rendszernek el kell indítania. Az alapértelmezett telepítés csak a konfigurációs fájlt határozza meg. Ha ehhez a fájlhoz hozzáad egy '-B' argumentumot, egy adott IP-cím használható a TACACS számára a figyeléshez.


DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Különleges megjegyzés a Debianban: Valamilyen oknál fogva nem sikerült újraindítani a TACACS+ szolgáltatást az új démonopciók olvasásához (a tacacs_plus szolgáltatáson keresztül újraindítást).

Úgy tűnik, hogy itt a probléma az, amikor a TACACS az init szkripten keresztül indul, és a PID statikusan “PIDFILE=/var” értékre van állítva. /run/tac_plus.pid ” ha azonban a „-B X.X.X.X ” démonopcióként van megadva, a pid fájl neve “/var/run-ra változik /tac_plus.pid.X.X.X.X ”.

Nem vagyok teljesen biztos benne, hogy ez hiba vagy sem, de a helyzet átmeneti leküzdése érdekében manuálisan beállíthatja a PIDFILE értéket az init szkriptben úgy, hogy a sort a következőre módosítja."PIDFILE=/var/run/tac_plus.pid.X.X.X.X" ahol X.X.X.X az az IP-cím, amelyet a TACACS-nak figyelnie kell, majd elindítania kell a szolgáltatást a következővel:


service tacacs_plus start

A szolgáltatás újraindításakor az lsof paranccsal újra meg lehet győződni arról, hogy a TACACS szolgáltatás a megfelelő IP-címen figyel.


lsof -i :49

Ahogy fentebb látható, a TACACS egy adott IP-címen lévő IP-címet figyel, ahogyan a fenti TACACS alapértelmezett fájljában be van állítva. Ezen a ponton felhasználókat és speciális parancskészleteket kell létrehozni.

Ezt az információt egy másik fájl kezeli: „/etc/tacacs+/tac_plus.conf”. Nyissa meg ezt a fájlt egy szövegszerkesztővel a megfelelő módosítások elvégzéséhez.


nano /etc/tacacs+/tac_plus.conf

Ebben a fájlban kell lennie az összes TACACS specifikációnak (felhasználói engedélyek, hozzáférés-vezérlési listák, gazdagép kulcsok stb.). Az első dolog, amit létre kell hozni, egy kulcs a hálózati eszközökhöz.

Ebben a lépésben nagy a rugalmasság. Egyetlen kulcs konfigurálható az összes hálózati eszközhöz, vagy több kulcs is konfigurálható eszközönként. A lehetőség a felhasználótól függ, de ez az útmutató az egyszerűség kedvéért egyetlen kulcsot használ.


key = "super_secret_TACACS+_key"

A kulcs konfigurálása után csoportokat kell létrehozni, amelyek meghatározzák a felhasználókhoz később hozzárendelendő engedélyeket. A csoportok létrehozása jelentősen megkönnyíti az engedélyek delegálását. Az alábbiakban egy példa látható a teljes rendszergazdai jogok hozzárendelésére.


group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. A csoport nevét a „group=admins” sor határozza meg, ahol az adminok a csoport neve.
  2. Az „alapértelmezett szolgáltatás=engedély” sor azt jelzi, hogy ha egy parancs nincs kifejezetten megtagadva, akkor implicit módon engedélyezze.
  3. A „service=exec { priv-lvl=15 } ” lehetővé teszi a 15 jogosultsági szintet végrehajtási módban Cisco-eszközökön (a 15-ös jogosultsági szint a legmagasabb Cisco berendezések).

Most hozzá kell rendelni egy felhasználót az adminisztrátori csoporthoz.


user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. A „user=rob” szakasz lehetővé teszi a rob felhasználónév számára, hogy hozzáférjen bizonyos erőforrásokhoz.
  2. A "member=admins" arra utasítja a TACACS+-t, hogy hivatkozzon az előző adminok csoportra, hogy felsorolja, mire jogosult ez a felhasználó.
  3. Az utolsó sor, a „login=des mjth124WPZapY” egy titkosított jelszó, amelyet a felhasználó hitelesíthet (bátran használjon feltörőt, hogy kitalálja ezt a szuper „bonyolult” jelszópéldát)!

Fontos: Általában az a legjobb gyakorlat, ha titkosított jelszavakat helyezünk el ebbe a fájlba egyszerű szöveg helyett, mivel ez egy kis biztonságot ad arra az esetre, ha valaki ezt elolvasná. fájlt, és nem feltétlenül kell hozzáféréssel rendelkeznie.

Jó megelőző intézkedés erre, ha legalább a világolvasási hozzáférést is eltávolítjuk a konfigurációs fájlból. Ez a következő paranccsal hajtható végre:


chmod o-r /etc/tacacs+/tac_plus.conf
service tacacs_plus reload

Ezen a ponton a szerveroldal készen áll a hálózati eszközökről történő csatlakozásra. Most térjünk át a Cisco kapcsolóra, és állítsuk be úgy, hogy kommunikáljon ezzel a Debian TACACS+ szerverrel.