TACACS + installimine ja konfigureerimine Cisco ruuteriga Debian 8 Jessie'is


Tehnoloogia sõltub tänapäeval suuresti võrguseadmetest ja nende võrguseadmete õigest konfiguratsioonist. Administraatorite ülesandeks on tagada, et konfiguratsioonimuudatusi enne rakendamist põhjalikult ei testitaks, vaid ka seda, et kõiki konfiguratsioonimuudatusi teeksid isikud, kellel on volitused muudatuste tegemiseks, samuti hoolitseda muudatuste logimise eest.

Seda turbepõhimõtet tuntakse kui AAA (Triple-A) või autentimist, autoriseerimist ja raamatupidamist. On kaks väga silmapaistvat süsteemi, mis pakuvad administraatoritele AAA-funktsioone, et tagada juurdepääs seadmetele ja võrkudele, mida need seadmed teenivad.

RADIUS (kaugjuurdepääsu sissehelistamisteenus) ja TACACS + (terminali juurdepääsukontrolleri juurdepääsukontrollisüsteem Plus).

Raadiust kasutatakse traditsiooniliselt kasutajate autentimiseks võrgule juurdepääsuks, mis erineb TACACS-ist, kuna seadmete haldamiseks kasutatakse traditsiooniliselt TACACS-i. Nende kahe protokolli üks suur erinevus on TACACSi võime eraldada AAA funktsioonid iseseisvateks funktsioonideks.

AAC-funktsioonide TACACS-eraldamise eeliseks on see, et saab kontrollida kasutaja võimet teatud käske täita. See on väga kasulik organisatsioonidele, kes soovivad võrgupersonalile või teistele IT-administraatoritele pakkuda väga üksikasjalikke erinevaid käsuõigusi.

Selles artiklis käsitletakse Debiani süsteemi seadistamist, et see toimiks TACACS + süsteemina.

  1. Debian 8 on installitud ja konfigureeritud võrguühendusega. Palun lugege seda artiklit Debian 8 installimise kohta
  2. Cisco võrgulüliti 2940 (enamus teisi Cisco seadmeid töötavad samuti, kuid lüliti/ruuteri käsud võivad erineda).

TACACS + tarkvara installimine Debian 8-sse

Selle uue TACACS-serveri seadistamise esimene samm on tarkvara hankimine hoidlatest. See on käsu ‘apt’ abil hõlpsasti teostatav.

# apt-get install tacacs+

Ülaltoodud käsk installib ja käivitab serveriteenuse pordis 49. Seda saab kinnitada mitme utiliidiga.

# lsof -i :49
# netstat -ltp | grep tac

Need kaks käsku peaksid tagastama rea, mis näitab, et TACACS kuulab selle süsteemi porti 49.

Siinkohal kuulab TACACS selle masina ühendusi. Nüüd on aeg seadistada TACACS-teenus ja kasutajad.

TACACS-teenuse ja kasutajate konfigureerimine

Üldiselt on hea mõte siduda teenused konkreetsete IP-aadressidega, kui serveril juhtub olema mitu aadressi. Selle ülesande täitmiseks saab IP-aadressi määramiseks muuta deemoni vaikevalikuid.

# nano /etc/default/tacacs+

See fail määrab kõik deemoni seaded, mida TACACS-süsteem peaks käivitama. Vaikimisi installimisel määratakse ainult konfiguratsioonifail. Lisades sellele failile argumendi ‘-B’, saab TACACS-i kuulamiseks kasutada konkreetset IP-aadressi.

DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Eriline märkus Debianis: Mingil põhjusel on uute deemoni valikute lugemiseks teenuse TACACS + taaskäivitamine ebaõnnestunud (teenuse tacacs_plus restart kaudu).

Siin näib olevat probleem, kui TACACS käivitatakse init-skripti kaudu, PID on staatiliselt seatud väärtusele\"PIDFILE =/var/run/tac_plus.pid", kuid kui\"- B XXXX \" on määratud deemoni valikuna, PID-faili nimeks muudetakse\"/ var/run/tac_plus.pid.XXXX".

Ma pole täiesti kindel, kas see on viga või mitte, kuid olukorra ajutiseks võitlemiseks saab PIDFILE'i käsitsi seadistada init-skriptis, muutes rea väärtuseks "PIDFILE =/var/run/tac_plus.pid.XXXX" kus XXXX on IP-aadress, peaks TACACS kuulama ja seejärel teenust käivitama:

# service tacacs_plus start

Teenuse taaskäivitamisel saab käsku lsof uuesti kasutada kinnitamaks, et teenus TACACS kuulab õiget IP-aadressi.

# lsof -i :49

Nagu eespool näha, kuulab TACACS konkreetse IP-aadressi IP-aadressi, nagu on sätestatud ülaltoodud TACACSi vaikefailides. Siinkohal tuleb luua kasutajad ja konkreetsed käsuhulgad.

Seda teavet haldab teine fail: '/etc/tacacs+/tac_plus.conf'. Sobivate muudatuste tegemiseks avage see fail tekstiredaktoriga.

# nano /etc/tacacs+/tac_plus.conf

Selles failis peaksid asuma kõik TACACSi spetsifikatsioonid (kasutajaõigused, juurdepääsu kontrollnimekirjad, hosti võtmed jne). Esimene asi, mis tuleb luua, on võrguseadmete võti.

Selles etapis on palju paindlikkust. Kõigi võrguseadmete jaoks saab konfigureerida ühe võtme või seadme kohta mitu võtit. Valik on kasutaja otsustada, kuid selles juhendis kasutatakse lihtsuse huvides ühte klahvi.

key = "super_secret_TACACS+_key"

Kui võti on konfigureeritud, tuleks luua rühmad, mis määravad õigused, mis kasutajatele hiljem määratakse. Gruppide loomine muudab lubade delegeerimise palju lihtsamaks. Allpool on näide täielike administraatoriõiguste määramisest.

group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. Grupi nime määrab rida\"group = admins", administraatorid on rühma nimi.
  2. Rida\"default service = luba" näitab, et kui käsku otseselt ei eitata, lubage see kaudselt.
  3. \"service = exec {priv-lvl = 15}" lubab Cisco seadmel exec-režiimis privileegide taset 15 (privileegide tase 15 on Cisco seadmete kõrgeim).

Nüüd tuleb kasutaja määrata administraatorirühma.

user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. Stseen\"user = rob" lubab robi kasutajanimel mõnele ressursile juurde pääseda.
  2. \"member = admins" käsib TACACS + -il viidata eelmisele rühmale, mida kutsutakse administraatoriteks, loendis, mida sellel kasutajal on õigus teha.
  3. Viimane rida\"login = des mjth124WPZapY" on selle kasutaja autentimiseks deskrüpteeritud parool (selle super\"keeruka" parooli näite väljaselgitamiseks kasutage julgelt kräkkerit)!

Tähtis: üldiselt on krüptitud paroolide lisamine sellesse faili mitte tavalisse teksti, vaid see lisab veidi turvalisust juhul, kui keegi peaks seda faili lugema ja tal ei peaks tingimata olema juurdepääsu.

Hea ennetav meede on vähemalt konfigureerimisfailist eemaldada ka maailma lugemisjuurdepääs. Seda saab teha järgmise käsu abil:

# chmod o-r /etc/tacacs+/tac_plus.conf
# service tacacs_plus reload

Siinkohal on serveripool võrguseadmetest ühendamiseks valmis. Läheme nüüd Cisco lülitile ja konfigureerime selle Debiani TACACS + serveriga suhtlemiseks.