TACACS + instalēšana un konfigurēšana ar Cisco maršrutētāju uz Debian 8 Jessie


Mūsdienās tehnoloģija lielā mērā ir atkarīga no tīkla aprīkojuma un šīs tīkla iekārtas pareizas konfigurācijas. Administratoriem ir uzdots nodrošināt, ka konfigurācijas izmaiņas pirms ieviešanas tiek rūpīgi pārbaudītas, bet arī to, ka visas konfigurācijas izmaiņas veic personas, kurām ir tiesības veikt izmaiņas, kā arī pārliecināties, ka izmaiņas tiek reģistrētas.

Šis drošības princips ir pazīstams kā AAA (Triple-A) vai autentifikācija, autorizācija un grāmatvedība. Ir divas ļoti pamanāmas sistēmas, kas administratoriem piedāvā AAA funkcionalitāti, lai nodrošinātu piekļuvi ierīcēm un tīkliem, kurus šīs ierīces apkalpo.

RADIUS (attālās piekļuves iezvanes lietotāja pakalpojums) un TACACS + (piekļuves vadības sistēmas piekļuves vadības sistēma Plus).

Rādiuss tradicionāli tiek izmantots, lai autentificētu lietotājus, lai piekļūtu tīklam, kas atšķiras no TACACS, jo TACACS parasti tiek izmantots ierīču administrēšanai. Viena no lielajām atšķirībām starp šiem diviem protokoliem ir TACACS spēja atdalīt AAA funkcijas neatkarīgās funkcijās.

TACACS AAA funkciju atdalīšanas priekšrocība ir tā, ka var kontrolēt lietotāja spēju izpildīt noteiktas komandas. Tas ir ļoti izdevīgi organizācijām, kuras vēlas tīkla darbiniekiem vai citiem IT administratoriem nodrošināt dažādas komandu privilēģijas ļoti detalizētā līmenī.

Šajā rakstā būs aprakstīta Debian sistēmas iestatīšana, lai tā darbotos kā TACACS + sistēma.

  1. Debian 8 ir instalēts un konfigurēts ar tīkla savienojamību. Lūdzu, izlasiet šo rakstu par Debian 8 instalēšanu
  2. Cisco tīkla slēdzis 2940 (darbosies arī lielākā daļa citu Cisco ierīču, taču komandas uz slēdža/maršrutētāja var atšķirties).

TACACS + programmatūras instalēšana Debian 8

Pirmais solis šī jaunā TACACS servera izveidē būs programmatūras iegāde no krātuvēm. To var viegli panākt, izmantojot komandu ‘apt’.

# apt-get install tacacs+

Iepriekš minētā komanda instalēs un sāks servera pakalpojumu 49. portā. To var apstiprināt ar vairākām utilītprogrammām.

# lsof -i :49
# netstat -ltp | grep tac

Šīm divām komandām jāatgriež rinda, kas norāda, ka TACACS klausās šīs sistēmas 49. portu.

Šajā brīdī TACACS klausās savienojumus ar šo mašīnu. Tagad ir pienācis laiks konfigurēt TACACS pakalpojumu un lietotājus.

TACACS pakalpojuma un lietotāju konfigurēšana

Parasti serveriem ir lietderīgi saistīt pakalpojumus ar noteiktām IP adresēm, ja serverim ir vairākas adreses. Lai veiktu šo uzdevumu, noklusējuma dēmona opcijas var mainīt, lai norādītu IP adresi.

# nano /etc/default/tacacs+

Šis fails norāda visus dēmonu iestatījumus, kas jāsāk TACACS sistēmai. Noklusējuma instalācijā tiks norādīts tikai konfigurācijas fails. Pievienojot šim failam argumentu ‘-B’, TACACS var izmantot noteiktu IP adresi.

DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Īpaša piezīme Debian: Kādu iemeslu dēļ mēģinājums restartēt pakalpojumu TACACS +, lai lasītu jaunās dēmona opcijas, nav veiksmīgs (izmantojot pakalpojumu tacacs_plus restart).

Šķiet, ka šeit problēma ir tad, kad TACACS tiek palaists, izmantojot init skriptu, PID ir statiski iestatīts uz “PIDFILE =/var/run/tac_plus.pid”, bet, kad “-B XXXX” ir norādīts kā dēmona opcija, nosaukums no pid faila tiek mainīts uz “/var/run/tac_plus.pid.XXXX”.

Es neesmu pilnīgi pārliecināts, vai tā ir kļūda, vai nē, bet, lai īslaicīgi apkarotu situāciju, PIDFILE var manuāli iestatīt init skriptā, mainot līniju uz “PIDFILE =/var/run/tac_plus.pid.XXXX”, kur XXXX ir IP adrese, kurai TACACS vajadzētu klausīties un pēc tam sākt pakalpojumu ar:

# service tacacs_plus start

Restartējot pakalpojumu, komandu lsof var izmantot vēlreiz, lai apstiprinātu, ka TACACS pakalpojums klausās pareizo IP adresi.

# lsof -i :49

Kā redzams iepriekš, TACACS klausās IP adresi noteiktā IP adresē, kā noteikts iepriekš TACACS noklusējuma failā. Šajā brīdī ir jāizveido lietotāji un īpašas komandu kopas.

Šo informāciju pārvalda cits fails: ‘/etc/tacacs+/tac_plus.conf’. Atveriet šo failu ar teksta redaktoru, lai veiktu atbilstošās izmaiņas.

# nano /etc/tacacs+/tac_plus.conf

Šajā failā ir jābūt visām TACACS specifikācijām (lietotāju atļaujas, piekļuves kontroles saraksti, resursdatora atslēgas utt.). Pirmā lieta, kas jāizveido, ir tīkla ierīču atslēga.

Šajā solī ir daudz elastības. Vienu atslēgu var konfigurēt visām tīkla ierīcēm vai vienā ierīcē var konfigurēt vairākus taustiņus. Opcija ir lietotāja ziņā, taču vienkāršības labad šajā rokasgrāmatā tiks izmantota viena atslēga.

key = "super_secret_TACACS+_key"

Kad atslēga ir konfigurēta, jāveido grupas, kas nosaka atļaujas, kuras lietotājiem tiks piešķirtas vēlāk. Grupu izveide ievērojami atvieglo atļauju deleģēšanu. Tālāk ir sniegts pilnu administratora tiesību piešķiršanas piemērs.

group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. Grupas nosaukumu nosaka rinda “group = admins” un grupas nosaukums ir admins.
  2. Rinda “default service = atļauja” norāda, ka, ja komanda nav tieši noraidīta, tad atļaujiet to netieši.
  3. “service = exec {priv-lvl = 15}” atļauj 15. privilēģiju līmeni exec režīmā Cisco ierīcē (15. privilēģiju līmenis ir visaugstākais Cisco ierīcēs).

Tagad lietotājam jāpiešķir administratoru grupa.

user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. Strofa “user = rob” ļauj roba lietotāja vārdam piekļūt kādam resursam.
  2. “member = admins” liek TACACS + atsaukties uz iepriekšējo grupu, ko sauc par administratoriem, lai uzzinātu, ko šis lietotājs ir pilnvarots darīt.
  3. Pēdējā rindiņa “login = des mjth124WPZapY” ir šifrēta parole, ko autentificēt šis lietotājs (nekautrējieties izmantot krekeri, lai noskaidrotu šo “sarežģītās” paroles piemēru)!

Svarīgi: Parasti paraugprakse ir ievietot šifrētas paroles šajā failā, nevis vienkāršā tekstā, jo tas piešķir nelielu drošību gadījumā, ja kādam vajadzētu izlasīt šo failu un viņam nav obligāti jābūt piekļuvei.

Labs preventīvs pasākums ir vismaz noņemt pasaules lasīšanas piekļuvi arī konfigurācijas failā. To var paveikt, izmantojot šādu komandu:

# chmod o-r /etc/tacacs+/tac_plus.conf
# service tacacs_plus reload

Šajā brīdī servera puse ir gatava savienojumiem no tīkla ierīcēm. Tagad dodieties uz Cisco slēdzi un konfigurējiet to saziņai ar šo Debian TACACS + serveri.