Instalación y Configuración de TACACS+

Introduccion

Un servidor TACACS provee una ubicacion centralizada AAA (Authentication, Authorization y Accounting) para dispositivos Cisco. La Autentificacion de los usuarios se puede realizar de 2 maneras; con la base de datos local del dispositivo o con el servidor TACACS. El modelo TACACS provee funcionalidades adicionales tales como la autorizacion de comandos especificos segun el usuario, ademas de un registro historico detallado de los accesos a los dispositivos y los comandos ejecutados.

La presente informacion describe el proceso de instalacion y configuracion de un servidor TACACS+ (tac-plus) en Linux Debian y tambien algunos de los comandos que se deben configurar en los dispositivos Cisco a traves de su IOS.

Configuracion del SERVIDOR

Instalacion de TACACS

#apt-get install tac-plus

/usr/sbin/tac_plus -C /etc/tac-plus/tacacs.conf -d 16

Para mostrar el debug del servicio tac-plus

tail -f /var/tmp/tac-plus.log

Para parar el servidor tacacs

/etc/init.d/tac-plus stop

Para iniciar el servidor tacacs

/etc/init.d/tac-plus restart

Archivos del servicio

/var/log/tac-plus/account.log (debe ser escribible, no ReadOnly)
/var/tmp/tac_plus.log (log del servicio)
/etc/init.d/tac-plus (script de inicio)
/etc/tac-plus/tacacs.conf (usuarios y configuracion global)
/usr/sbin/tac_plus (ejecutable)

Para crear contraseñas cifradas en des:

htpasswd -n username
(Debes tener instalado Apache2 para que te reconozca la intrucciòn)

Archivo de configuracion del servicio TACACS

/etc/tac-plus/tacacs.conf
/etc/tacacs+/tac_plus.conf

Este usuario tiene todos los permisos

user = admins {
default service = permit
login = des 70e4lCVGyWSKM
}

Este usuario solo puede ejecutar los comandos ‘show ip’ y ‘show interface’

user = users {
default service = deny
login = cleartext test
cmd = show
{
permit ip
permit interface
deny .*
}
}

Configuracion de un Router

Cada comando AAA en el router describe el proceso de autentificacion y autorizacion y el orden en que se intenta ejecutar los diferentes metodos configurados.

aaa new-model

Orden de Autenticacion

aaa authentication login default tacacs+ enable
aaa authentication enable default tacacs+ enable

Para conexiones ISDN

aaa authentication ppp RAS local

Debe tener las siguientes 2 lineas para indicar explicitamente los comandos de autorizacion. Los comandos correspondientes al User level del usuario se permitiran aun si el servidor TACACS no se encontrase disponible pero el usuario de igual manera se encuntra autentificado

aaa authorization exec tacacs+ if-authenticated
aaa authorization commands 1 tacacs+ if-authenticated

{Si el servidor TACACS no se encuentra disponible, los comandos Enable solo se podran ejecutar desde una consola (configure terminal, copy cmd etc)}

aaa authorization commands 15 tacacs+ if-authenticated
aaa authorization network tacacs+

Contraseña enable cuando el servidor TACACS no se encuentra disponible

aaa accounting exec start-stop tacacs+
aaa accounting commands 1 start-stop tacacs+
aaa accounting commands 15 start-stop tacacs+
aaa accounting network start-stop tacacs+
aaa accounting system start-stop tacacs+
enable password tester

El siguiente comando permite ejecutar culaquier comando si el servidor TACACS no se encuantra disponible

aaa authorization exec tacacs+ none

Si el servidor TACACS no se encuentra disponible, el prompt que se mostrara sera el login estandard de Cisco, con la diferencia de que en vez de emplear una contraseña para el VTY y una para el enable, se empleara la misma contraseña de enable tanto para el login como para el enable del router.

Ejemplo:

Building configuration…
!
Current configuration:
!
version 11.1
service config
no service udp-small-servers
no service tcp-small-servers
hostname tacacstest
!
aaa new-model
aaa authentication login default tacacs+ enable
aaa authentication enable default tacacs+ enable
aaa authentication ppp RAS local
aaa authorization exec tacacs+ if-authenticated
aaa authorization commands 1 tacacs+ if-authenticated
aaa authorization commands 15 tacacs+ if-authenticated
aaa authorization network tacacs+
aaa accounting exec start-stop tacacs+
aaa accounting commands 1 start-stop tacacs+
aaa accounting commands 15 start-stop tacacs+
aaa accounting network start-stop tacacs+
aaa accounting system start-stop tacacs+
enable secret 5 $1$y1cB$sSAl.2azaTPo9GoPO3fp0.
!
interface Ethernet0
ip address 192.168.1.2 255.255.255.0
no cdp enable
!
interface Serial0
no ip address
shutdown
no fair-queue
!
interface Serial1
no ip address
shutdown
no cdp enable
!
interface BRI0
no ip address
shutdown
!
line con 0
exec-timeout 0 0
password whatever
login authentication conmethod
line aux 0
line vty 0 4
exec-timeout 0 0
!
end

Acerca de faleja

Ing. telecomunicaciones @faleja

Publicado el mayo 26, 2011 en Cisco, Redes, Telecomunicaciones. Añade a favoritos el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: