Namestitev in konfiguracija TACACS + z usmerjevalnikom Cisco na Debian 8 Jessie

Tehnologija danes močno sloni na omrežni opremi in pravilni konfiguraciji te omrežne opreme. Skrbniki so zadolženi, da zagotovijo, da se spremembe konfiguracije ne samo temeljito preizkusijo pred uvedbo, temveč tudi, da spremembe konfiguracije opravijo posamezniki, ki so pooblaščeni za izvajanje sprememb, in poskrbijo, da so spremembe zabeležene.

To načelo varnosti je znano kot AAA (Triple-A) ali overjanje, avtorizacija in računovodstvo. Obstajata dva zelo pomembna sistema, ki skrbnikom omogočata funkcionalnost AAA za zaščito dostopa do naprav in omrežij, ki jih te naprave uporabljajo.

RADIUS (oddaljena dostopna uporabniška storitev) in TACACS + (nadzorni sistem za nadzor dostopa do terminalov Plus).

Radius se tradicionalno uporablja za preverjanje pristnosti uporabnikov za dostop do omrežja, kar je v nasprotju s TACACS, saj se TACACS tradicionalno uporablja za upravljanje naprav. Ena od velikih razlik med tema dvema protokoloma je sposobnost, da TACACS loči funkcije AAA v neodvisne funkcije.

Prednost ločevanja funkcij AAA s sistemom TACACS je v tem, da je mogoče nadzirati zmožnost uporabnika za izvajanje določenih ukazov. To je zelo ugodno za organizacije, ki želijo mrežnemu osebju ali drugim skrbnikom informacijske tehnologije zagotoviti različne privilegije na zelo natančni ravni.

Ta članek bo opisal nastavitev sistema Debian, ki bo deloval kot sistem TACACS +.

  1. Debian 8 nameščen in konfiguriran z omrežno povezljivostjo. Preberite ta članek o tem, kako namestiti Debian 8
  2. Omrežno stikalo Cisco 2940 (Tudi večina drugih naprav Cisco bo delovala, vendar se ukazi na stikalu/usmerjevalniku lahko razlikujejo).

Namestitev programske opreme TACACS + na Debian 8

Prvi korak pri nastavitvi tega novega strežnika TACACS bo pridobitev programske opreme iz skladišč. To je enostavno doseči z uporabo ukaza ‘apt’.

# apt-get install tacacs+

Zgornji ukaz bo namestil in zagnal strežniško storitev na vratih 49. To lahko potrdite z več pripomočki.

# lsof -i :49
# netstat -ltp | grep tac

Ta dva ukaza bi morala vrniti vrstico, ki označuje, da TACACS posluša na vratih 49 v tem sistemu.

Trenutno TACACS posluša povezave na tej napravi. Zdaj je čas, da konfigurirate storitev TACACS in uporabnike.

Konfiguriranje storitve TACACS in uporabnikov

Običajno je dobro, da storitve vežete na določene naslove IP, če ima strežnik več naslovov. Za izpolnitev te naloge lahko privzete možnosti demona spremenite tako, da podajo naslov IP.

# nano /etc/default/tacacs+

Ta datoteka določa vse nastavitve demona, ki jih mora sistem TACACS zagnati. Privzeta namestitev bo določila samo konfiguracijsko datoteko. Če tej datoteki dodate argument ‘-B’, lahko TACACS posluša določen naslov IP.

DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Posebna opomba v Debianu: Iz nekega razloga poskus ponovnega zagona storitve TACACS + za branje novih možnosti demona ni uspešen (s ponovnim zagonom storitve tacacs_plus).

Zdi se, da je težava tukaj, ko se TACACS zažene prek skripta init, PID pa je statično nastavljen na\"PIDFILE =/var/run/tac_plus.pid", če pa je kot možnost demona določen\"- B XXXX", ime datoteke pid se spremeni v\"/ var/run/tac_plus.pid.XXXX".

Nisem popolnoma prepričan, ali gre za napako ali ne, toda za začasno reševanje situacije lahko ročno nastavimo PIDFILE v skriptu init, tako da vrstico spremenimo v\"PIDFILE =/var/run/tac_plus.pid.XXXX" kjer je XXXX naslov IP, ki naj ga TACACS posluša in nato zažene storitev z:

# service tacacs_plus start

Po ponovnem zagonu storitve lahko z ukazom lsof znova potrdite, da storitev TACACS posluša na pravem naslovu IP.

# lsof -i :49

Kot je razvidno zgoraj, TACACS posluša naslov IP na določenem naslovu IP, kot je določeno v privzeti datoteki TACACS. Na tej točki je treba ustvariti uporabnike in določene nabore ukazov.

Te podatke upravlja druga datoteka: ‘/etc/tacacs+/tac_plus.conf’. Odprite to datoteko z urejevalnikom besedil in izvedite ustrezne spremembe.

# nano /etc/tacacs+/tac_plus.conf

V tej datoteki bi morale biti vse specifikacije TACACS (uporabniška dovoljenja, seznami nadzora dostopa, gostiteljski ključi itd.). Prva stvar, ki jo je treba ustvariti, je ključ za omrežne naprave.

V tem koraku je veliko prilagodljivosti. En ključ je mogoče konfigurirati za vse omrežne naprave ali več ključev za vsako napravo. Možnost je odvisna od uporabnika, vendar bo ta priročnik zaradi enostavnosti uporabil en sam ključ.

key = "super_secret_TACACS+_key"

Ko je ključ konfiguriran, je treba zgraditi skupine, ki določajo dovoljenja, ki jih bodo uporabniki dodelili pozneje. Ustvarjanje skupin olajša prenos pooblastil. Spodaj je primer dodelitve polnih skrbniških pravic.

group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. Ime skupine določa vrstica\"group = admins", pri čemer so skrbniki ime skupine.
  2. Vrstica\"privzeta storitev = dovoljenje" označuje, da če ukaz ni izrecno zavrnjen, ga omogočite implicitno.
  3. \"service = exec {priv-lvl = 15}" omogoča raven privilegij 15 v načinu exec v napravi Cisco (raven privilegij 15 je najvišja na Ciscovi opremi).

Zdaj je treba uporabnika dodeliti v skrbniško skupino.

user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. Strofa\"user = rob" uporabniškemu imenu rob omogoča dostop do nekega vira.
  2. \"member = admins" pove TACACS +, naj se sklicuje na prejšnjo skupino, imenovano admins, za seznam tega, za kar je ta uporabnik pooblaščen.
  3. Končna vrstica\"login = des mjth124WPZapY" je šifrirano geslo, ki ga ta uporabnik lahko preveri (vas prosimo, da uporabite cracker, da ugotovite primer super\"kompleksnega" gesla)!

Pomembno: Na splošno je najboljša praksa, da v to datoteko namesto šifriranega gesla vstavite šifrirana gesla, saj dodaja rahlo mero varnosti, če bi to datoteko moral nekdo prebrati in ni nujno, da ima dostop.

Dober preventivni ukrep za to je, da vsaj v konfiguracijski datoteki odstranite tudi dostop do svetovnega branja. To lahko dosežete z naslednjim ukazom:

# chmod o-r /etc/tacacs+/tac_plus.conf
# service tacacs_plus reload

Na tej točki je strežniška stran pripravljena za povezave z omrežnimi napravami. Pojdimo zdaj na stikalo Cisco in ga konfigurirajte za komunikacijo s tem strežnikom Debian TACACS +.