Debian

Instalación y configuración de Tacacs+ con el enrutador Cisco en Debian 8 Jessie

Instalación y configuración de Tacacs+ con el enrutador Cisco en Debian 8 Jessie

La tecnología hoy depende en gran medida de los equipos de red y la configuración adecuada de ese equipo de redes. Los administradores tienen la tarea de garantizar que los cambios de configuración no solo se prueben a fondo antes de la implementación, sino también que cualquier cambio de configuración sea realizado por personas que estén autorizadas para hacer cambios y asegurarse de que los cambios se registren.

Este principio de seguridad se conoce como AAA (Triple-a) o Autenticación, Autorización, y Contabilidad. Hay dos sistemas muy prominentes que ofrecen funcionalidad AAA para que los administradores aseguren el acceso a los dispositivos y las redes que sirven esos dispositivos.

RADIO (Servicio de usuario de acceso remoto de acceso remoto) y Tacacs+ (Sistema de control de acceso al controlador de acceso terminal más).

Radio se usa tradicionalmente para autenticar a los usuarios para acceder a la red que contrasta con Tacacs En ese sentido, los tacacs se usan tradicionalmente para la administración de dispositivos. Una de las grandes diferencias entre estos dos protocolos es la capacidad de los tacacs para separar las funciones AAA en funciones independientes.

El beneficio de la separación de tacacs de las funciones AAA es que la capacidad de un usuario para ejecutar ciertos comandos se puede controlar. Esto es muy ventajoso para las organizaciones que desean proporcionar al personal de redes u otros administradores de TI con diferentes privilegios de comando a un nivel muy granular.

Este artículo pasará a través de la creación de un Debian sistema para actuar como un Tacacs+ sistema.

Configuración del medio ambiente

  1. Debian 8 instalado y configurado con conectividad de red. Lea este artículo sobre cómo instalar Debian 8
  2. Cisco Network Switch 2940 (la mayoría de los otros dispositivos Cisco también funcionarán, pero los comandos en el conmutador/enrutador pueden variar).

Instalación del software TACACS+ en Debian 8

El primer paso para configurar este nuevo Tacacs El servidor será adquirir el software de los repositorios. Esto se logra fácilmente con el uso del 'apto' dominio.

# apt-get install tacacs+ 

El comando anterior instalará e iniciará el servicio del servidor en el puerto 49. Esto se puede confirmar con varias utilidades.

# lSOF -I: 49 # netstat -ltp | grep tac 

Estos dos comandos deben devolver una línea que indique Tacacs está escuchando en el puerto 49 En este sistema.

En este punto Tacacs está escuchando las conexiones en esta máquina. Ahora es el momento de configurar el Tacacs servicio y usuarios.

Configuración del servicio TACACS y usuarios

Generalmente es una buena idea vincular los servicios a direcciones IP específicas si el servidor tiene múltiples direcciones. Para lograr esta tarea, las opciones de demonio predeterminadas se pueden modificar para especificar una dirección IP.

# nano/etc/default/tacacs+ 

Este archivo especifica todas las configuraciones de demonio de la Tacacs El sistema debería comenzar. La instalación predeterminada solo especificará el archivo de configuración. Agregando un '-B' argumento a este archivo, se puede usar una dirección IP específica para que los tacacs escuchen.

TACACS+ CONFIGURAR ARCHIVO
Daemon_opts = "-c/etc/tacacs+/tac_plus.conf " - Línea original Daemon_opts = "-c/etc/tacacs+/tac_plus.confusión -B x.X.X.X " - Nueva línea, donde X.X.X.X es la dirección IP para escuchar 

Nota especial en Debian: Por alguna razón intentando reiniciar el Tacacs+ El servicio para leer las nuevas opciones de demonio no tiene éxito (a través de servicio tacacs_plus reiniciar).

El problema aquí parece ser cuando Tacacs se inicia a través del en eso guión, el Pid está estáticamente establecido en "Pidfile =/var/run/tac_plus.pid " Sin embargo, cuando el "-B x.X.X.X" se especifica como una opción de demonio, el nombre del archivo PID se cambia a "/Var/run/tac_plus.pid.X.X.X.X".

No estoy totalmente seguro de si esto es un error o no, pero para combatir la situación temporalmente, uno puede establecer manualmente el Pidfile en el en eso script cambiando la línea a "Pidfile =/var/run/tac_plus.pid.X.X.X.X" donde x.X.X.X es la dirección IP que los tacacs deben escuchar y luego comenzar el servicio con:

# Servicio TACACS_PLUS Inicio 

Al reiniciar el servicio, el comando LSOF se puede usar nuevamente para confirmar que el servicio TACACS está escuchando en la dirección IP correcta.

# LSOF -I: 49 

Como se ve arriba, Tacacs está escuchando en una dirección IP en una dirección IP específica como se establece en el archivo TACACS predeterminado anterior arriba. En este punto, los usuarios y conjuntos de comandos específicos deben crearse.

Esta información es administrada por otro archivo: '/etc/tacacs+/tac_plus.confusión'. Abra este archivo con un editor de texto para hacer las modificaciones apropiadas.

# nano/etc/tacacs+/tac_plus.confusión 

Este archivo es donde todo el Tacacs Las especificaciones deben residir (permisos de usuario, listas de control de acceso, claves de host, etc.). Lo primero que debe crearse es un llave Para los dispositivos de red.

Hay mucha flexibilidad en este paso. Se puede configurar una sola clave para todos los dispositivos de red o se pueden configurar múltiples claves por dispositivo. La opción depende del usuario, pero esta guía usará una sola clave por simplicidad.

tac_plus.conf - crear una clave de red
key = "super_secret_tacacs+_key" 

Una vez que se ha configurado una clave, grupos debe construirse que determine los permisos que los usuarios se asignarán más adelante. La creación de grupos facilita la delegación de los permisos. A continuación se muestra un ejemplo de asignación de derechos completos del administrador.

tac_plus.conf - crear permisos grupales
Group = Admins Servicio predeterminado = Permiso Service = Exec Priv-Lvl = 15 
  1. El nombre del grupo está determinado por la línea "grupo = administradores"Con los administradores son el nombre del grupo.
  2. El "servicio predeterminado = permiso"La línea indica que si un comando no se niega explícitamente, permítale implícitamente.
  3. El "servicio = exec privlvl = 15"Permite el nivel de privilegio 15 en modo EXEC en un dispositivo Cisco (el nivel de privilegio 15 es el más alto en el equipo de Cisco).

Ahora un usuario necesita ser asignado al grupo de administración.

tac_plus.conf - crear un usuario
user = Rob miembro = Admins Login = des mjth124wpzapy 
  1. El "Usuario = Rob" La estrofa permite que un nombre de usuario de Rob acceda a algunos recursos.
  2. El "Miembro = Administradores"Le dice a Tacacs+ que se refiera al grupo anterior llamado Administradores para una lista de lo que este usuario está autorizado para hacer.
  3. La línea final, "Login = des mjth124wpzapy" es una contraseña de DES cifrada para que este usuario se autentique (no dude en usar una galleta para descubrir este ejemplo de contraseña súper "compleja")!

Importante: En general, es una mejor práctica colocar contraseñas cifradas en este archivo en lugar de texto sin formato, ya que agrega una pequeña cantidad de seguridad en caso de que alguien deba leer este archivo y no necesariamente tiene acceso.

Una buena medida preventiva para esto es al menos eliminar el acceso mundial de lectura en el archivo de configuración. Esto se puede lograr a través del siguiente comando:

# chmod o-r/etc/tacacs+/tac_plus.conf # servicio tacacs_plus recargar 

En este punto, el lado del servidor está listo para las conexiones de los dispositivos de red. Vamos a dirigirnos al Cisco cambie ahora y configúrelo para comunicarse con este Debian Tacacs+ servidor.

Páginas: 1 2
Cómo despertar en el host compatible con LAN a través de la red utilizando Linux
Cómo despertar en el host compatible con LAN a través de la red utilizando Linux...
Error del decodificador principal No hay módulo de decodificador adecuado para FourCc 'XVID'
Este problema puede ocurrir cuando su sistema Debian Linux está utilizando paquetes del repositorio principal de Debian, así como de http // www.Debia...
Use OpenCV para separar la imagen RGB en componentes de color verde rojo y azul
Este pequeño programa OpenCV demuestra cómo separar la imagen RGB en los componentes R, G y B. El programa está escrito en programación de bajo nivel,...