Hlavní navigace

TACACS (4)

Milan Gigel

V minulých častiach seriálu sme si prilížili instaláciu a konfigurovanie daemona tacacs, údržbu konfiguračného súboru, nastavovanie authorizačných parametrov, tvorbu užívateľských skriptov pre ovplyvnenie priebehu authorizácie, dnes sa budeme venovať authentikácii užívateľov a nastavenie routerov Cisco pre authentikáciu dialup užívateľov.

Nakonfigurujme si teda router pre spoluprácu pre authentikáciu a authorizáciu s tacacsom a účtovacími službami nasledovne:

  enable
  configure terminal
    tacacs-server host xxx.xxx.xxx.xxx
    tacacs-server key MojTacacsKluc
    aaa new-model
    aaa authentication login default tacacs+ local
    aaa authentication enable default tacacs+ enable
    aaa authentication ppp default if-needed tacacs+ local
    aaa authorization exec tacacs+ local
    aaa authorization network tacacs+ none
    aaa accounting exec start-stop tacacs+
    aaa accounting commands 1 start-stop tacacs+
    aaa accounting commands 15 start-stop tacacs+
    aaa accounting network start-stop tacacs+
    aaa accounting connection stop-only tacacs+
    aaa accounting nested
    Ctrl-Z

Nastavili sme si router pre spoluprácu s tacacsom pri authentikácii, takže sa môžeme z bližšie pozrieť, čo sme dosiahli.

    aaa authentication login default tacacs+ local :

Authentikácia užívateľov pri prihlasovaní bude prebiehať prostredníctvom daemona tacacs, poprípade z lokálnej definície užívateľov, ak bude tacacs neprístupný. Pri nefukčnosti tacacsu je vhodné mať v zálohe lokálneho užívateľa, to z dôvodu aby sme sa mohli nadiaľku nalogovať na router, aj keď spadne spojenie s authentikačným serverom. To dosiahneme nasledovne:

  enable
  configure terminal
    username admin privilege 15 password blablablabla
    Ctrl-Z

a tým máme k dispozícii lokálneho užíávateľa s právami úrovne 15, čiže enable levelu.

  aaa authentication enable default tacacs+ enable :

Táto voľba nám umožní uchovanie enable passwordu v konfiguračnom súbore tacacs, a pri nemožnosti authentikácie prostredníctvom authentikačného servera sa prevedie lokálne, ktoré sme si nadefinovali nasledovne:

  enable
  configure terminal
    enable secret blablabla
    enable password blablabla

V konfiguračnom súbore si nadefinujeme enable heslo ako užívateľa s názvom $enable$ resp. $enab15$, avsak defínícia $enable$ má prednosť pred $enab15$. Výsledok by mohol vyzerať nasledovne

  user =$enable$ {
    login = cleartext "blablabla"
  }

resp.

  user =$enab15$ {
    login = des bxoK7Oicbixui

  }

Nasledujúca voľba

    aaa authentication ppp default if-needed tacacs+ local :

nám umožní authentikáciu dialup užívateľov protokolu ppp na asynchrónnych portoch routera daemonom tacacs, takže bežne vytvorený užívateľ v konfiguračnom súbore tacacsu ako napr.

  user = nr-panama {
    member = slaba_prevadzka
    login = des barU503ivCO45
    expires = "Jun 12 2002"
    idletime =  10
    maxsess = 1
  }

bude authentikovaný pri prihlasovaní na router tacacs serverom. Znovu pri neúspechu bude prevedený pokus aj lokálne.

Jednotlivé asynchrónne zariadenia si postupne nakonfigurujeme napr. takto:

enable
configure terminal
  chat-script cisco-default ABORT ERROR "" "AT Z" OK
  "ATDT \T" TIMEOUT 30 \cCONNECT\c
  chat-script reset-script "" "ATZS0=1"
  interface Async1
     ip unnumbered Ethernet0
     no ip directed-broadcast
     encapsulation ppp
     ip tcp header-compression passive
     async mode interactive
     peer default ip address xxx.xxx.xxx.xxx
     no cdp enable
     ppp authentication pap chap
  line 1 16
    exec-timeout 0 0
     autoselect during-login
     autoselect ppp
     script reset reset-script
     modem InOut
     transport preferred none
     transport input all
     escape-character NONE
     telnet transparent
     stopbits 1
     speed 57600
     flowcontrol hardware

Konfiguračné príkazy

    aaa authorization exec tacacs+ local
    aaa authorization network tacacs+ none

nám zabezepečia authorizáciu prostredníctvom daemona tacacs a nakoniec príkazy

    aaa accounting exec start-stop tacacs+
    aaa accounting commands 1 start-stop tacacs+
    aaa accounting commands 15 start-stop tacacs+
    aaa accounting network start-stop tacacs+
    aaa accounting connection stop-only tacacs+
    aaa accounting nested

nám specifikujú, ktoré položky sa budú zapisovať do accounting súboru daemonu tacacs.

V ďalšej časti sa budeme venovať spracovaniu accounting súboru a tvorbe prehľadov.

Našli jste v článku chybu?

22. 8. 2001 8:53

Milan Gigel (neregistrovaný)

Je to samozrejme tak ako pisete, este ma napadlo, ci je mozna authorizaciou obmedzit platny rozsah prikazov pre rsh. tym by molo mozne potom riesit aj kreditne uctovanie, ktore by kontroloval uzivatelsky daemon alebo cron job a po vyprsani kreditov by vykonal rsh clear line #, a pri dalsom logovani by preauthorizacny skript na zaklade nuloveho kreditu vykonal odmietnutie authentikacie

21. 8. 2001 23:13

tomas meinlschmidt (neregistrovaný)

myslim, ze rsh je velike delo a bezp. dira.. bohate preci postaci povolit finger z ip adresy tac_daemonu, a pak tedy preautorizacnim scriptem zkontrolovat pocty uzivatelu - cele toto reseni s scriptem ma vsak jednu nevyhodu, a to v casove prodleve, ktera jiste bude vetsi nez s pouzitim maxsess feature. pokud se nekomu nelibi finger ani rsh, muze pouzivat expect :))

Vitalia.cz: 7 originálních adventních kalendářů pro mlsné

7 originálních adventních kalendářů pro mlsné

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

DigiZone.cz: V Plzni odstartovalo Radio 1

V Plzni odstartovalo Radio 1

Lupa.cz: Levný tarif pro Brno nebude, je to kartel

Levný tarif pro Brno nebude, je to kartel

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Podnikatel.cz: E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

E-Ježíšek si zařádí: nákupy od 2 do 5 tisíc

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

Vitalia.cz: Jak vybrat ořechy do cukroví a kde mají levné

Jak vybrat ořechy do cukroví a kde mají levné

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu