Fifi sori ẹrọ ati iṣeto ni ti TACACS + pẹlu Cisco Router lori Debian 8 Jessie

Imọ-ẹrọ loni gbẹkẹle igbẹkẹle lori awọn ẹrọ netiwọki ati iṣeto ni to dara ti ẹrọ nẹtiwọọki yẹn. Awọn alakoso ni iṣẹ ṣiṣe pẹlu idaniloju pe awọn ayipada iṣeto kii ṣe idanwo nikan daradara ṣaaju ṣiṣe ṣugbọn tun pe eyikeyi awọn atunto iṣeto ni o ṣe nipasẹ awọn ẹni-kọọkan ti o fun ni aṣẹ lati ṣe awọn ayipada bakanna rii daju pe awọn ayipada ti wa ni ibuwolu wọle.

Ilana aabo yii ni a mọ ni AAA (Triple-A) tabi Ijeri, Aṣẹ, ati Iṣiro. Awọn ọna ṣiṣe olokiki pupọ meji wa ti o funni ni iṣẹ AAA fun awọn alakoso lati ni iraye si awọn ẹrọ ati awọn nẹtiwọọki awọn ẹrọ wọnyẹn sin.

RADIUS (Iṣẹ Wiwọle Latọna jijin-Ni Iṣẹ Olumulo) ati TACACS + (Eto Alabojuto Wiwọle Alabojuto Wiwọle Ibẹrẹ Plus).

Radius jẹ lilo aṣa lati jẹrisi awọn olumulo lati wọle si nẹtiwọọki eyiti o ṣe iyatọ si TACACS ni pe TACACS ti lo aṣa fun iṣakoso ẹrọ. Ọkan ninu awọn iyatọ nla laarin awọn ilana meji wọnyi ni agbara fun TACACS lati ya awọn iṣẹ AAA si awọn iṣẹ ominira.

Anfani ti iyapa TACACS ti awọn iṣẹ AAA ni pe agbara olumulo lati ṣe awọn ofin kan le ṣakoso. Eyi jẹ anfani pupọ si awọn ajo ti o fẹ lati pese oṣiṣẹ nẹtiwọọki tabi alakoso IT miiran pẹlu awọn anfani aṣẹ yiyatọ ni ipele granular pupọ.

Nkan yii yoo rin nipasẹ siseto eto Debian kan lati ṣe bi eto TACACS +.

  1. Debian 8 ti fi sori ẹrọ ati tunto pẹlu sisopọ nẹtiwọọki. Jọwọ ka nkan yii lori bii o ṣe le fi sori ẹrọ Debian 8
  2. Iyipada nẹtiwọọki Cisco 2940 (Ọpọlọpọ awọn ẹrọ Cisco miiran yoo ṣiṣẹ daradara ṣugbọn awọn aṣẹ lori yiyi/olulana le yatọ).

Fifi sori ẹrọ ti TACACS + Sọfitiwia lori Debian 8

Igbesẹ akọkọ ni siseto olupin TACACS tuntun yii yoo jẹ lati gba sọfitiwia lati awọn ibi ipamọ. Eyi ni aṣeyọri ni rọọrun pẹlu lilo aṣẹ 'apt'.

# apt-get install tacacs+

Aṣẹ ti o wa loke yoo fi sori ẹrọ ati bẹrẹ iṣẹ olupin lori ibudo 49. Eyi le jẹrisi pẹlu ọpọlọpọ awọn ohun elo.

# lsof -i :49
# netstat -ltp | grep tac

Awọn ofin meji wọnyi yẹ ki o pada laini ti o tọka pe TACACS n tẹtisi lori ibudo 49 lori eto yii.

Ni aaye yii TACACS n tẹtisi awọn isopọ lori ẹrọ yii. Bayi o to akoko lati tunto iṣẹ TACACS ati awọn olumulo.

Tito leto Iṣẹ TACACS ati Awọn olumulo

Ni gbogbogbo o jẹ imọran ti o dara lati sopọ awọn iṣẹ si awọn adirẹsi IP kan pato ti olupin ba ṣẹlẹ lati ni awọn adirẹsi pupọ. Lati ṣaṣeyọri iṣẹ yii, awọn aṣayan daemon aiyipada le yipada lati sọ adirẹsi IP kan.

# nano /etc/default/tacacs+

Faili yii ṣalaye gbogbo awọn eto daemon ti eto TACACS yẹ ki o bẹrẹ. Fifi sori ẹrọ aiyipada yoo ṣalaye faili iṣeto nikan. Nipa fifi ariyanjiyan '-B' kun si faili yii, adiresi IP kan pato le ṣee lo fun TACACS lati gbọ.

DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Akọsilẹ pataki ni Debian: Fun idi diẹ igbiyanju lati tun bẹrẹ iṣẹ TACACS + lati ka awọn aṣayan daemon tuntun ko ni aṣeyọri (nipasẹ atunbere tacacs_plus iṣẹ).

Ọrọ ti o wa nibi dabi pe o jẹ nigbati TACACS ti bẹrẹ nipasẹ iwe afọwọkọ, PID ti ṣeto ni iṣiro si\"PIDFILE =/var/run/tac_plus.pid" sibẹsibẹ nigbati\"- B XXXX" ti ṣalaye bi aṣayan daemon, orukọ ti faili pid ti yipada si\"/ var/run/tac_plus.pid.XXXX”.

Emi ko ni idaniloju daju pe eyi jẹ kokoro tabi rara ṣugbọn lati dojuko ipo naa fun igba diẹ, ẹnikan le ṣeto PIDFILE pẹlu ọwọ pẹlu iwe afọwọkọ nipa yiyi ila pada si\"PIDFILE =/var/run/tac_plus.pid.XXXX" nibiti XXXX jẹ adiresi IP TACACS yẹ ki o tẹtisi ati lẹhinna bẹrẹ iṣẹ pẹlu:

# service tacacs_plus start

Lẹhin ti tun bẹrẹ iṣẹ naa, aṣẹ lsof le ṣee lo lẹẹkansi lati jẹrisi pe iṣẹ TACACS n tẹtisi lori adirẹsi IP ti o pe.

# lsof -i :49

Gẹgẹbi a ti rii loke, TACACS n tẹtisi lori adiresi IP kan lori adiresi IP kan pato bi a ti ṣeto ninu faili aiyipada TACACS loke. Ni aaye yii awọn olumulo ati awọn ipilẹ aṣẹ pato nilo lati ṣẹda.

Alaye yii ni iṣakoso nipasẹ faili miiran: '/etc/tacacs+/tac_plus.conf'. Ṣii faili yii pẹlu olootu ọrọ lati ṣe awọn iyipada ti o yẹ.

# nano /etc/tacacs+/tac_plus.conf

Faili yii ni ibiti gbogbo awọn alaye TACACS yẹ ki o gbe (awọn igbanilaaye olumulo, awọn atokọ iṣakoso iwọle, awọn bọtini ogun, ati bẹbẹ lọ). Ohun akọkọ ti o nilo lati ṣẹda jẹ bọtini fun awọn ẹrọ nẹtiwọọki.

Ni irọrun pupọ ni igbesẹ yii. A le tunto bọtini kan fun gbogbo awọn ẹrọ nẹtiwọọki tabi awọn bọtini pupọ le tunto fun ẹrọ kan. Aṣayan wa si olumulo ṣugbọn itọsọna yii yoo lo bọtini kan fun irọrun ayedero.

key = "super_secret_TACACS+_key"

Lọgan ti a ti tunto bọtini kan, o yẹ ki a kọ awọn ẹgbẹ ti o pinnu awọn igbanilaaye ti awọn olumulo yoo pin si nigbamii. Ṣiṣẹda awọn ẹgbẹ jẹ ki aṣoju awọn igbanilaaye rọrun pupọ. Ni isalẹ jẹ apẹẹrẹ ti fifun awọn ẹtọ alakoso ni kikun.

group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. Orukọ ẹgbẹ ni ipinnu nipasẹ laini\"ẹgbẹ = awọn admins" pẹlu awọn admins ti o jẹ orukọ ẹgbẹ naa.
  2. Laini iṣẹ "aiyipada = iyọọda" laini tọka pe ti a ko ba kọ aṣẹ ni gbangba, lẹhinna gba laaye laibikita.
  3. Iṣẹ\"iṣẹ = exec {priv-lvl = 15}" ngbanilaaye ipele anfani 15 ni ipo exec lori ẹrọ Sisiko kan (ipele anfaani 15 ni o ga julọ lori ohun elo Cisco).

Bayi olumulo kan nilo lati fi sọtọ si ẹgbẹ abojuto.

user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. The\"user = rob" stanza gba orukọ olumulo kan ti jija wọle lati wọle si diẹ ninu awọn orisun.
  2. The\"member = admins" sọ fun TACACS + lati tọka si ẹgbẹ ti tẹlẹ ti a pe ni admins fun atokọ ti ohun ti a fun ni aṣẹ olumulo yii lati ṣe.
  3. Laini ikẹhin,\"buwolu wọle = des mjth124WPZapY" jẹ ọrọ igbaniwọle ti a papamọ fun olumulo yii lati jẹrisi (ni ọfẹ lati lo kọnki lati ṣawari apẹẹrẹ ọrọ igbaniwọle nla "eka")!

Pataki: O jẹ igbagbogbo iṣe ti o dara julọ lati gbe awọn ọrọ igbaniwọle ti paroko sinu faili yii dipo ọrọ-pẹtẹlẹ bi o ṣe ṣafikun iye aabo diẹ ninu iṣẹlẹ ti ẹnikan yẹ ki o ka faili yii ati pe ko yẹ ki o ni iraye si dandan.

Iwọn idena ti o dara fun eyi ni lati ni o kere yọ iraye ka agbaye lori faili iṣeto naa daradara. Eyi le ṣee ṣe nipasẹ aṣẹ atẹle:

# chmod o-r /etc/tacacs+/tac_plus.conf
# service tacacs_plus reload

Ni aaye yii ẹgbẹ olupin ti ṣetan fun awọn isopọ lati awọn ẹrọ nẹtiwọọki. Jẹ ki a lọ si yipada si Cisco bayi ati tunto rẹ lati ṣe ibasọrọ pẹlu olupin Debian TACACS + yii.