Hlavní navigace

TACACS (4)

Milan Gigel

V minulých častiach seriálu sme si prilížili instaláciu a konfigurovanie daemona tacacs, údržbu konfiguračného súboru, nastavovanie authorizačných parametrov, tvorbu užívateľských skriptov pre ovplyvnenie priebehu authorizácie, dnes sa budeme venovať authentikácii užívateľov a nastavenie routerov Cisco pre authentikáciu dialup užívateľov.

Nakonfigurujme si teda router pre spoluprácu pre authentikáciu a authorizáciu s tacacsom a účtovacími službami nasledovne:

  enable
  configure terminal
    tacacs-server host xxx.xxx.xxx.xxx
    tacacs-server key MojTacacsKluc
    aaa new-model
    aaa authentication login default tacacs+ local
    aaa authentication enable default tacacs+ enable
    aaa authentication ppp default if-needed tacacs+ local
    aaa authorization exec tacacs+ local
    aaa authorization network tacacs+ none
    aaa accounting exec start-stop tacacs+
    aaa accounting commands 1 start-stop tacacs+
    aaa accounting commands 15 start-stop tacacs+
    aaa accounting network start-stop tacacs+
    aaa accounting connection stop-only tacacs+
    aaa accounting nested
    Ctrl-Z

Nastavili sme si router pre spoluprácu s tacacsom pri authentikácii, takže sa môžeme z bližšie pozrieť, čo sme dosiahli.

    aaa authentication login default tacacs+ local :

Authentikácia užívateľov pri prihlasovaní bude prebiehať prostredníctvom daemona tacacs, poprípade z lokálnej definície užívateľov, ak bude tacacs neprístupný. Pri nefukčnosti tacacsu je vhodné mať v zálohe lokálneho užívateľa, to z dôvodu aby sme sa mohli nadiaľku nalogovať na router, aj keď spadne spojenie s authentikačným serverom. To dosiahneme nasledovne:

  enable
  configure terminal
    username admin privilege 15 password blablablabla
    Ctrl-Z

a tým máme k dispozícii lokálneho užíávateľa s právami úrovne 15, čiže enable levelu.

  aaa authentication enable default tacacs+ enable :

Táto voľba nám umožní uchovanie enable passwordu v konfiguračnom súbore tacacs, a pri nemožnosti authentikácie prostredníctvom authentikačného servera sa prevedie lokálne, ktoré sme si nadefinovali nasledovne:

  enable
  configure terminal
    enable secret blablabla
    enable password blablabla

V konfiguračnom súbore si nadefinujeme enable heslo ako užívateľa s názvom $enable$ resp. $enab15$, avsak defínícia $enable$ má prednosť pred $enab15$. Výsledok by mohol vyzerať nasledovne

  user =$enable$ {
    login = cleartext "blablabla"
  }

resp.

  user =$enab15$ {
    login = des bxoK7Oicbixui

  }

Nasledujúca voľba

    aaa authentication ppp default if-needed tacacs+ local :

nám umožní authentikáciu dialup užívateľov protokolu ppp na asynchrónnych portoch routera daemonom tacacs, takže bežne vytvorený užívateľ v konfiguračnom súbore tacacsu ako napr.

  user = nr-panama {
    member = slaba_prevadzka
    login = des barU503ivCO45
    expires = "Jun 12 2002"
    idletime =  10
    maxsess = 1
  }

bude authentikovaný pri prihlasovaní na router tacacs serverom. Znovu pri neúspechu bude prevedený pokus aj lokálne.

Jednotlivé asynchrónne zariadenia si postupne nakonfigurujeme napr. takto:

enable
configure terminal
  chat-script cisco-default ABORT ERROR "" "AT Z" OK
  "ATDT \T" TIMEOUT 30 \cCONNECT\c
  chat-script reset-script "" "ATZS0=1"
  interface Async1
     ip unnumbered Ethernet0
     no ip directed-broadcast
     encapsulation ppp
     ip tcp header-compression passive
     async mode interactive
     peer default ip address xxx.xxx.xxx.xxx
     no cdp enable
     ppp authentication pap chap
  line 1 16
    exec-timeout 0 0
     autoselect during-login
     autoselect ppp
     script reset reset-script
     modem InOut
     transport preferred none
     transport input all
     escape-character NONE
     telnet transparent
     stopbits 1
     speed 57600
     flowcontrol hardware

Konfiguračné príkazy

    aaa authorization exec tacacs+ local
    aaa authorization network tacacs+ none

nám zabezepečia authorizáciu prostredníctvom daemona tacacs a nakoniec príkazy

    aaa accounting exec start-stop tacacs+
    aaa accounting commands 1 start-stop tacacs+
    aaa accounting commands 15 start-stop tacacs+
    aaa accounting network start-stop tacacs+
    aaa accounting connection stop-only tacacs+
    aaa accounting nested

nám specifikujú, ktoré položky sa budú zapisovať do accounting súboru daemonu tacacs.

V ďalšej časti sa budeme venovať spracovaniu accounting súboru a tvorbe prehľadov.

Našli jste v článku chybu?