Pag-install ug Pag-configure sa TACACS + kauban ang Cisco Router sa Debian 8 Jessie

Ang teknolohiya karon nagsalig pag-ayo sa kagamitan sa networking ug husto nga pag-configure sa kagamitan sa networking. Ang mga tigdumala gitahasan sa pagsiguro nga ang mga pagbag-o sa configuration dili lang gisulayan pag-ayo sa dili pa ipatuman apan usab nga ang bisan unsang mga kausaban sa configuration gihimo sa mga indibidwal nga awtorisado sa paghimo sa mga kausaban ingon man sa pagsiguro nga ang mga kausaban natala.

Kini nga prinsipyo sa seguridad nailhan nga AAA (Triple-A) o Authentication, Authorization, ug Accounting. Adunay duha ka ilado kaayo nga sistema nga nagtanyag sa AAA functionality para sa mga administrador aron ma-secure ang access sa mga device ug sa mga network nga gisilbihan sa mga device.

RADIUS (Remote Access Dial-In User Service) ug TACACS+ (Terminal Access Controller Access-Control System Plus).

Ang Radius tradisyonal nga gigamit sa pag-authenticate sa mga tiggamit sa pag-access sa network nga sukwahi sa TACACS tungod kay ang TACACS tradisyonal nga gigamit alang sa pagdumala sa aparato. Usa sa dako nga kalainan tali niining duha ka mga protocol mao ang abilidad sa TACACS sa pagbulag sa mga gimbuhaton sa AAA ngadto sa independente nga mga gimbuhaton.

Ang kaayohan sa TACACS separation sa AAA functions mao nga ang abilidad sa usa ka user sa pagpatuman sa pipila ka mga sugo mahimong kontrolado. Kini labi ka mapuslanon sa mga organisasyon nga gusto maghatag mga kawani sa networking o uban pang tigdumala sa IT nga adunay lainlaing mga pribilehiyo sa mando sa usa ka granular nga lebel.

Kini nga artikulo maglakaw pinaagi sa pagpahimutang sa usa ka sistema sa Debian aron molihok ingon usa ka sistema sa TACACS +.

  1. Gi-install ug gi-configure ang Debian 8 nga adunay koneksyon sa network. Palihug basaha kini nga artikulo kung giunsa pag-install ang Debian 8
  2. Cisco network switch 2940 (Kadaghanan sa ubang Cisco device mogana usab apan ang mga command sa switch/router mahimong magkalahi).

Pag-instalar sa TACACS + Software sa Debian 8

Ang unang lakang sa pag-set up niining bag-ong TACACS server mao ang pagkuha sa software gikan sa mga repositoryo. Kini dali nga mahimo sa paggamit sa 'apt' nga sugo.

# apt-get install tacacs+

Ang sugo sa ibabaw mag-instalar ug magsugod sa serbisyo sa server sa port 49. Kini mahimong makumpirma sa daghang mga utilities.

# lsof -i :49
# netstat -ltp | grep tac

Kining duha ka mga sugo kinahanglang magbalik ug linya nga nagpaila nga ang TACACS naminaw sa port 49 niini nga sistema.

Niini nga punto ang TACACS naminaw alang sa mga koneksyon niini nga makina. Karon na ang panahon sa pag-configure sa serbisyo ug tiggamit sa TACACS.

Pag-configure sa Serbisyo ug Mga Gumagamit sa TACACS

Sa kasagaran usa ka maayong ideya ang pagbugkos sa mga serbisyo sa piho nga mga adres sa IP kung ang server adunay daghang mga adres. Aron matuman kini nga buluhaton, ang default nga mga kapilian sa daemon mahimong usbon aron mahibal-an ang usa ka IP address.

# nano /etc/default/tacacs+

Kini nga file nagtino sa tanan nga mga setting sa daemon nga kinahanglan magsugod ang sistema sa TACACS. Ang default nga pag-instalar magtino lamang sa configuration file. Pinaagi sa pagdugang og argumento nga '-B' sa kini nga file, ang usa ka piho nga IP adres mahimong magamit alang sa pagpaminaw sa TACACS.

DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Espesyal nga nota sa Debian: Alang sa pipila ka rason ang pagsulay sa pag-restart sa serbisyo sa TACACS+ aron mabasa ang bag-ong mga kapilian sa daemon dili molampos (pinaagi sa serbisyo tacacs_plus restart).

Ang isyu dinhi daw kung ang TACACS gisugdan pinaagi sa init nga script, ang PID kay statically gibutang sa \PIDFILE=/var/run/tac_plus.pid bisan pa kung ang \-B X.X.X.X gipiho ingon usa ka kapilian nga daemon, ang ngalan sa pid file giusab ngadto sa \/var/run/tac_plus.pid.X.X.X.X.

Dili ako hingpit nga sigurado kung kini usa ka bug o dili apan aron mapugngan ang sitwasyon nga temporaryo, mahimo nga mano-mano nga itakda ang PIDFILE sa init nga script pinaagi sa pagbag-o sa linya sa \PIDFILE=/var/run/tac_plus.pid.X.X.X.X diin ang X.X.X.X mao ang IP address nga kinahanglan paminawon sa TACACS ug dayon sugdi ang serbisyo sa:

# service tacacs_plus start

Sa pagsugod pag-usab sa serbisyo, ang lsof command mahimong gamiton pag-usab aron sa pagkumpirma nga ang TACACS nga serbisyo naminaw sa husto nga IP address.

# lsof -i :49

Sama sa nakita sa ibabaw, ang TACACS naminaw sa usa ka IP address sa usa ka piho nga IP address nga gitakda sa TACACS default file sa ibabaw. Niini nga punto ang mga tiggamit ug piho nga mga set sa command kinahanglan nga buhaton.

Kini nga impormasyon gidumala sa laing file: '/etc/tacacs+/tac_plus.conf'. Ablihi kini nga file gamit ang text editor aron mahimo ang angay nga mga pagbag-o.

# nano /etc/tacacs+/tac_plus.conf

Kini nga file diin ang tanan nga mga detalye sa TACACS kinahanglan nga magpuyo (mga pagtugot sa tiggamit, mga lista sa kontrol sa pag-access, mga yawe sa host, ug uban pa). Ang una nga butang nga kinahanglan buhaton mao ang yawe alang sa mga aparato sa network.

Adunay daghang pagka-flexible niini nga lakang. Ang usa ka yawe mahimong ma-configure alang sa tanan nga mga aparato sa network o daghang mga yawe mahimong ma-configure matag aparato. Ang kapilian naa sa tiggamit apan kini nga giya mogamit usa ka yawe alang sa kayano.

key = "super_secret_TACACS+_key"

Kung na-configure na ang usa ka yawe, kinahanglan nga tukuron ang mga grupo nga nagtino sa mga pagtugot nga itudlo sa mga tiggamit sa ulahi. Ang paghimo og mga grupo makapasayon sa delegasyon sa mga permiso. Sa ubos usa ka pananglitan sa pag-assign sa hingpit nga mga katungod sa tagdumala.

group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. Ang ngalan sa grupo gitino pinaagi sa linya nga \grupo = mga admin nga ang mga admin mao ang ngalan sa grupo.
  2. Ang linya nga \default service = permit nagpakita nga kung ang usa ka sugo dili klaro nga gibalibaran, nan tugoti kini sa hingpit.
  3. Ang \service = exec { priv-lvl = 15 } nagtugot sa pribilihiyo nga lebel 15 sa exec mode sa usa ka Cisco device (pribilehiyo nga lebel 15 mao ang pinakataas sa Cisco equipment).

Karon ang usa ka tiggamit kinahanglan nga itudlo sa admin nga grupo.

user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. Ang \user = rob nga stanza nagtugot sa user-name sa rob nga maka-access sa pipila ka kapanguhaan.
  2. Ang \member = admins nagsulti sa TACACS+ sa pag-refer sa miaging grupo nga gitawag og admins para sa listahan sa unsay gitugutan niining user nga buhaton.
  3. Ang kataposang linya, ang \login = des mjth124WPZapY kay des encrypted nga pasword para mapamatud-an niini nga user (batig gawasnon nga mogamit ug cracker para mahibaw-an kining super \complex” nga pananglitan sa password)!

Mahinungdanon: Kasagaran usa ka labing kaayo nga praktis ang pagbutang sa mga naka-encrypt nga password sa kini nga file kaysa yano nga teksto tungod kay kini nagdugang gamay nga kantidad sa seguridad kung adunay usa nga mobasa niini nga file ug dili kinahanglan nga adunay access.

Ang usa ka maayo nga preventive measure alang niini mao ang pagtangtang sa world read access sa configuration file usab. Mahimo kini pinaagi sa mosunod nga sugo:

# chmod o-r /etc/tacacs+/tac_plus.conf
# service tacacs_plus reload

Niini nga punto ang server nga bahin andam na alang sa mga koneksyon gikan sa mga device sa network. Mangadto kita sa switch sa Cisco karon ug i-configure kini aron makigkomunikar sa kini nga Debian TACACS + server.