(K) Konfiguracja protokołu TACACS+*

Konfiguracja protokołu TACACS+

Konfiguracja protokołu TACACS+

# Konfiguracja pojedynczego serwera TACACS+:

(config)# aaa new-model – Włącza system lokalnego zarządzania użytkownikami, w systemie IOS (dla wszystkich linii).

(config)# tacacs server nazwa-serwera – Definiuje nowy serwer autentykacji TACACS+.

(config-server-tacacs)# address ipv4 adres-IP – Określa adres IP nowego serwera AAA.

(config-server-tacacs)# key hasło – Określa hasło dla autentykacji pomiędzy serwerem a urządzeniem lokalnym.

(config-server-tacacs)# port numer-portu – Określa numer portu jaki będzie wykorzystywany w komunikacji pomiędzy serwerem a urządzeniem lokalnym (Domyślny port 49).

# Konfiguracja grupy serwerów TACACS+:

(config)# aaa group server tacacs+ nazwa-grupy – Tworzy nową grupę serwerów autentykacji.

(config-sg-tacacs+)# server name nazwa-serwera – Definiuje nazwę skonfigurowanego serwera autentykacji.

# Konfiguracja linii dostępowych:

(config)# line {console 0 / vty 0 15} – Przechodzi do konfiguracji linii dostępowych.

(config-line)# aaa authentication login {default / nazwa} – Umożliwia autoryzacje użytkowników zgodnie z planem AAA.

Zawansowana konfiguracja protokołu RADIUS & TACACS+

# Konfiguracja dodatkowych ustawień AAA:

(config)# ip tacacs source-int interfejs

(config)# ip radius source-int interfejs

(config)# radius-server timeout

(config)# radius-server deadtime

(config)# tacacs-server timeout

(config)# tacacs-server deadtime

# Konfiguracja hasła do trybu uprzywilejowanego:

(config)# enable password hasło – Tworzy hasło blokujące dostęp do trybu uprzywilejowanego.

(config)# service password-encryption – Ukrywa hasło dostępu do trybu uprzywilejowanego [enable password hasło].

(config)# enable secret hasło – Tworzy bezpieczne hasło blokujące dostęp do trybu uprzywilejowanego.

(config)# enable algorithm-type sha-256 secret hasło – Tworzy hasło szyfrowane algorytmem SHA-256.

(config)# enable algorithm-type scrypt secret hasło – Tworzy hasło szyfrowane algorytmem SHA-256.

# Konfiguracja użytkownika lokalnego:

(config)# username login {[algorithm-type {md5 / sha256 / scrypt / nopassword / autocommand komenda-CLI / access-class lista-ACL / one-time / view]} secret hasło – Tworzy nowe konto użytkownika lokalnego, z przypisanym hasłem.

  • algorithm-type – Określa algorytm, którym będzie haszowane hasło nowego użytkownika.
  • nopassword – Tworzy nowe konto bez hasła.
  • autocommand – Automatycznie wykonuje wskazaną komendę CLI zaraz po zalogowaniu się do systemu IOS.
  • access-class – Określa adresy IP z których będzie mógł się logować nowy użytkownik.
  • one-time – Tworzy konto jednorazowe.
  • view Przypisuje do loginu pełną wyświetlaną nazwę użytkownika.

# Zmiana domyślnych wartości AAA:

(config)# aaa authentication username-prompt tekst – Określa baner proszący o podanie loginu użytkownika.

(config)# aaa authentication password-prompt tekst – Określa baner proszący o podanie hasła użytkownika.

(config)# aaa authentication attempts login 1-25 – Określa maksymalną ilość porażek procesu autentykacji.

(config)# aaa authentication fail-message # treść na wiele wierzy # – Określa zawartość banneru wyświetlanego w przypadku porażki procesu autentykacji. Treść banneru następuje pomiędzy powtarzającymi się znakami (#).

Konfiguracja funkcji AAA

Konfiguracja autentykacji, autoryzacji jak i funkcji śledzenia użytkowników

# Definiowanie metod autentykacji (Authentication):

(config)# aaa authentication login {default / nazwa} group metoda-pierwsza(nazwa-grupy) [metoda-druga(np. local, line, none)] – Określa kolejność następujących po sobie metod autentykacji użytkowników końcowych.

! Oprócz głównej metody autentykacji użytkowników końcowych, powyższe rozwiązanie oferuje możliwość zastosowania opcjonalnej, zapasowej metody uwierzytelniania wykorzystywanej w przypadku braku odpowiedzi ze strony serwera RADIUS / TACACUS+. Może być to komenda:

  • local – Określająca lokalną bazę użytkowników (Wielkość liter loginu nie ma znaczenia).
  • local-case – Określająca lokalną bazę użytkowników (Wielkość liter loginu ma znaczenie).
  • line – Określająca hasło skonfigurowane na linii VTY bądź konsoli.
  • none – Automatycznie autentykująca / autoryzująca wszystkich użytkowników.

(config)# aaa authentication enable default enable

! W przypadku konfiguracji serwera radius w programie GNS3 należy aktywować serwer radius AAA za pomocą komendy [service freeradius start].

# Definiowanie metod autoryzacji (Authorization):

(config)# aaa authorization console – Włącza autoryzację AAA na konsoli.

(config)# aaa authorization config-commands

(config)# aaa authorization exec {default / nazwa} group metoda-pierwsza(nazwa-grupy) [metoda-druga(np. local, none)] [if-authenticated] – Określa kolejność następujących po sobie metod autoryzacji użytkowników końcowych.

(config)# aaa authorization {commands 0-15 / config-commands / configuration / exec / network} {default / nazwa} group metoda-pierwsza(nazwa-grupy) [metoda-druga(np. local, none)] [if-authenticated]

  • commands – Serwer radius musi potwierdzić uprawnienia do wykonania każdej komendy uprzywilejowanej.
  • config-commands – Serwer radius musi potwierdzić uprawnienia do wykonania każdej komendy CLI.
  • configuration – Serwer radius musi potwierdzić uprawnienia do trybu konfiguracji urządzenia.
  • exec – Serwer radius musi potwierdzić uprawnienia do trybu uprzywilejowanego.
  • network – Serwer radius musi potwierdzić uprawnienia do konfiguracji „network related services” (Np. PPP).
  • if-authenticated – Automatycznie autoryzuje zautentykowanego użytkownika.
  • auth-proxy

! Po aktywowaniu funkcji AAA, a jednoczesnym braku komendy [aaa authorization exec {default / nazwa} group metoda-pierwsza] każda logująca się do systemu osoba będzie posiadała poziom dostępu (Privilege 1).

! Oprócz głównej metody autentykacji oraz autoryzacji użytkowników końcowych, powyższe rozwiązanie oferuje możliwość zastosowania opcjonalnej, zapasowej metody uwierzytelniania wykorzystywanej w przypadku braku odpowiedzi ze strony serwera RADIUS / TACACUS+. Może być to komenda:

  • local – Określająca lokalną bazę użytkowników (Wielkość liter loginu nie ma znaczenia).
  • local-case – Określająca lokalną bazę użytkowników (Wielkość liter loginu ma znaczenie).
  • line – Określająca hasło skonfigurowane na linii VTY bądź konsoli.
  • none – Automatycznie autentykująca / autoryzująca wszystkich użytkowników.

(config)# aaa authorization commands 0-15 default group metoda-pierwsza(nazwa-grupy) [metoda-druga(np. local, none)] [if-authenticated]

(config)# privilege {exec / interface / configure} level 0-15 komenda-CLI

(config)# privilege exec all reset komenda-CLI – Przywraca domyślną konfiguracje autoryzacji dla danej komendy.

! Po przypisaniu do wybranego poziomu dostępu komendy CLI, zostaje ona zablokowana dla wszystkich niższych poziomów.

# Definiowanie metod śledzenia użytkowników (Accounting):

(config)# aaa accounting {commands 0-15 / exec / system / network / connection} {default / nazwa} {start-stop / wait-stop / stop-only} metoda-pierwsza(nazwa-grupy) [metoda-druga(nazwa-grupy)]

  • commands – Umożliwia śledzenie wszystkich komend CLI wykonanych przez użytkownika.
  • exec – Umożliwia śledzenie komend EXEC wykonanych przez użytkownika.
  • system – Umożliwia śledzenie wydarzeń systemowych zainicjonowanych przez użytkownika (Np. restart systemu).
  • network – Umożliwia śledzenie wszystkich komend „network related”,wykonanych przez użytkownika (Np. PPP).
  • connection – Umożliwia śledzenie
  • start-stop – Umożliwia śledzenie
  • wait-stop – Umożliwia śledzenie
  • stop-only – Umożliwia śledzenie

Pozostałe tematy związane z protokołem AAA

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz