Cómo lograr la autenticación AAA a través del servidor TACACS+ en el conmutador
TACACS+ cifra todo el mensaje y la autenticación y la autorización se pueden separar. El nombre de usuario y la contraseña se pueden verificar respectivamente, lo que es mejor que la seguridad de radius. Es adecuado para escenarios que requieren alta seguridad.
Nota: En la actualidad, la autenticación 802.1X del conmutador solo admite el uso con el servidor Radius. La configuración funcional del servidor TACACS+ solo incluye autenticación y autorización, y la función de facturación no se puede utilizar.
Parte 1. Construya un servidor TACACS+ simple en un sistema Linux
Paso 1. Instalación de TACACS+
El paquete TACACS + está disponible en los repositorios de Ubuntu, ingrese el siguiente comando en modo raíz para instalar
apt-get install tacacs +
Paso 2. Configuración de TACACS+
Una vez que está instalado, procedemos a configurar el servidor TACACS+ a nuestras necesidades. En una instalación predeterminada, el archivo de configuración se encuentra aquí /etc/tacacs+/tac_plus.conf Abra el archivo con su editor favorito y realice los cambios como se muestra a continuación.
vi /etc/tacacs+/tac_plus.conf
#Haz de esto una clave fuerte
clave = tplink2021
# Usando PAM local que nos permite usar usuarios locales de Linux
autenticación predeterminada = archivo / etc / passwd
#Definir grupos a los que agregaremos usuarios más adelante
# En este ejemplo he definido 3 grupos y les he asignado los respectivos privilegios. Test1 es privilegio de administrador, test2 y test3 son privilegios de usuario, pero test3 puede obtener privilegios de administrador de acuerdo con la contraseña adicional establecida. La contraseña se genera automáticamente de acuerdo con el comando tac_pwd como se muestra a continuación.
grupo = prueba1 {
servicio predeterminado = permiso
service = exec {
priv-lvl = 15
}
}
grupo = prueba2 {
servicio predeterminado = denegar
service = exec {
priv-lvl = 1
}
}
grupo = prueba3 {
servicio predeterminado = permiso
login = archivo / etc / passwd
enable = Gbptgx46GpgrA
service = exec {
priv-lvl = 2
}
}
# Definiendo mis usuarios y asignándolos a los grupos anteriores
usuario = administrador {
miembro = prueba1
}
usuario = usuario1 {
miembro = prueba2
}
usuario = usuario2 {
miembro = test3
}
Priv-lvl tiene 15 niveles y cuatro permisos de administración diferentes en el conmutador:
1 ~ 4: los permisos de usuario , que solo se pueden ver y configurar, no se pueden editar ni modificar, y las funciones L3 no se pueden ver
5 ~ 9: permiso de superusuario , puede ver, editar y modificar algunas funciones, como VLAN, configuración HTTPS, ping, etc.
10 ~ 14: permisos de operador . Sobre la base de los permisos de superusuario, también puede realizar lag, dirección MAC, control de acceso, configuración SSH y otras funciones
15: privilegios de administrador , puede ver, editar y modificar todas las funciones
#Guarde y salga del archivo editado de tac_plus.conf , cree usuarios relevantes y establezca contraseñas en el sistema Linux.
administrador de usuarios
adduser user1
adduser user2
Paso 3. TACACS+ inicio
# Empiece a escuchar el puerto 49, lo que indica que el inicio se ha realizado correctamente.
/etc/init.d/tacacs_plus inicio
Nota: Después de cada modificación del archivo de configuración, reinicie el servidor TACACS+.
Parte 2. Configuraciones en el conmutador
Tomando la topología de la siguiente figura como ejemplo, la interfaz de administración del conmutador de inicio de sesión debe ser autenticada por el servidor TACACS+ para garantizar la seguridad de la red.
Paso 1. Elija el menú SEGURIDAD> AAA> TACACS + Config y haga clic en Agregar para cargar la siguiente página. Configure la IP del servidor como 192.168.0.100, la clave compartida como tplink2021, el puerto del servidor como 49.
Paso 2. Elija el menú SEGURIDAD> AAA> Configuración del método y haga clic en la sección Configuración del método de inicio de sesión de autenticación . Especifique el Nombre de la lista de métodos como predeterminado y seleccione Pri1 como tacacs.
Paso 3. En la misma página, haga clic en Configuración del método de activación de autenticación . Especifique el Nombre de la lista de métodos como predeterminado y seleccione Pri1 como tacacs. Haga clic en Crear para configurar la lista de métodos para habilitar la autenticación de contraseña.
Caso 1. Todos los métodos de administración del conmutador de inicio de sesión deben ser autenticados por el servidor TACACS+
Elija el menú SEGURIDAD> AAA> Configuración global para cargar la siguiente página. En la sección Configuración de la aplicación AAA , seleccione todos los módulos, el método de inicio de sesión y el método de habilitación como predeterminado.
En este punto, se completa la configuración del conmutador. Ni HTTP ni TELNET pueden iniciar sesión en la interfaz de administración con la cuenta de administrador predeterminada a través del cliente.
Caso 2. Excepto Telnet, todos los métodos de administración del conmutador de inicio de sesión deben ser autenticados por el servidor TACACS+.
Elija el menú SEGURIDAD> AAA> Configuración del método y haga clic en la sección Configuración del método de inicio de sesión de autenticación y en la sección Configuración del método de activación de autenticación . Especifique el Nombre de la lista de métodos como telnet y seleccione Pri1 como local en ambas secciones.
Elija el menú SEGURIDAD> AAA> Configuración global para cargar la siguiente página. En la configuración de la aplicación AAA , seleccione el módulo de telnet, el método de inicio de sesión y el método de habilitación como telnet.
En este punto, puede utilizar la cuenta de administrador predeterminada para iniciar sesión en el conmutador a través de telnet.
Caso 3. Al iniciar sesión con autoridad de usuario, configure una contraseña de administrador adicional en el servidor TACACS+ e ingrese la contraseña establecida en la interfaz a continuación para actualizar de la autoridad de usuario a la autoridad de administrador.
¿Es útil esta faq?
Sus comentarios nos ayudan a mejorar este sitio.