Что такое TACACS? В википедии написано: TACACS+ (англ. Terminal Access Controller Access Control System plus) — сеансовый протокол, результат дальнейшего усовершенствования TACACS, предпринятого Cisco. Улучшена безопасность протокола (шифрование), а также введено разделение функций аутентификации, авторизации и учёта, которые теперь можно использовать по отдельности.
TACACS+ использует понятия сеансов. В рамках TACACS+ возможно установление трёх различных типов сеансов AAA (англ. authentication, authorization, accounting). Установление одного типа сеанса в общем случае не требует предварительного успешного установления какого-либо другого. Спецификация протокола не требует для открытия сеанса authorization открыть сначала сеанс authentication. Сервер TACACS+ может потребовать authentication, но сам протокол этого не оговаривает.
Установка Tacacs+ на FreeBSD.
В этом руководстве описываются базовые настройки TACACS+, и хотя есть разные фишки, я опишу то, что обычно используется. Если вы хотите установить и настроить tac_plus на другой платформе, тогда вам сюда
1. Переходим в директорию, где у вас находится порт cd to /usr/ports/net/tac_plus4/ выполняем make && make install && make clean
2. После установки редактируем ee /usr/local/etc/rc.d/tac_plus.sh находим строку tac_plus_enable= и меняем NO на YES и сохраняем файл(я настраивал tacacs+ на FreeBSD 5.4, такой строчки там не было и я оставил этот файл как есть).
3. Затем редактируем следующий файл ee /etc/rc.conf и добавляем в него tac_plus_enable="YES" , это будет гарантировать, что tacacs стартует, если сервер будет перезагружен.
4. Заходим в директорию cd /usr/local/etc/ создаем и редактируем третий файл ee /usr/local/etc/tac_plus.conf
key = YOU_KEY (прописываем ваш ключ, использование ключа опционально, но рекомендовано шифровать сессию между tacacs+ сервером и вашими устройствами)
user = user1 {
login = cleartext user1password
}
user = rancid {
login =cleartext rancidpassword
}
user = user2 {
login = cleartext user2password
}
Для дополнительных фишек читаем /usr/local/share/doc/tac_plus/users_guide
Настройка Cisco маршрутизатора.
Заходим на маршрутизатор (удостоверьтесь что вы в enable mode) и копируем туда следущее:
conf t
aaa new-model
!
aaa authentication login default group tacacs+ local
aaa authorization exec telnet group tacacs+ local
aaa accounting exec default start-stop group tacacs+
!
tacacs-server host xxx.xx.xx.xx key YOU_KEY
tacacs-server directed-request
где xxx.xx.xx.xx ip-адрес вашего tacacs+ сервера, а YOU_KEY ваш ключ который вы указали в файле /usr/local/etc/tac_plus.conf
Запуск Tacacs+.
/usr/local/etc/rc.d/tacacs.sh start
Для просмотра лога tacacs+ в реальном времени
tail -f /var/log/tac_plus.acct
Комментариев нет:
Отправить комментарий