Uppsetning og stillingar á TACACS+ með Cisco Router á Debian 8 Jessie

Tæknin í dag byggir að miklu leyti á netbúnaði og réttri uppsetningu þess netbúnaðar. Stjórnendum er falið að tryggja að stillingarbreytingar séu ekki aðeins prófaðar vandlega fyrir innleiðingu heldur einnig að allar stillingarbreytingar séu gerðar af einstaklingum sem hafa heimild til að gera breytingar auk þess að ganga úr skugga um að breytingarnar séu skráðar.

Þessi öryggisregla er þekkt sem AAA (Triple-A) eða Authentication, Authorization og Accounting. Það eru tvö mjög áberandi kerfi sem bjóða upp á AAA virkni fyrir stjórnendur til að tryggja aðgang að tækjum og netkerfum sem þessi tæki þjóna.

RADIUS (Remote Access Dial-In User Service) og TACACS+ (Terminal Access Controller Access-Control System Plus).

Radíus er jafnan notaður til að auðkenna notendur til að fá aðgang að netkerfinu sem er andstætt TACACS að því leyti að TACACS er jafnan notað til tækjastjórnunar. Einn af stóru mununum á þessum tveimur samskiptareglum er geta TACACS til að aðgreina AAA aðgerðir í sjálfstæðar aðgerðir.

Ávinningurinn af TACACS aðskilnaði AAA aðgerðanna er að hægt er að stjórna getu notanda til að framkvæma ákveðnar skipanir. Þetta er mjög hagkvæmt fyrir stofnanir sem vilja veita netstarfsmönnum eða öðrum upplýsingatæknistjórnendum mismunandi stjórnunarréttindi á mjög nákvæmu stigi.

Þessi grein mun ganga í gegnum uppsetningu Debian kerfis til að virka sem TACACS+ kerfi.

  1. Debian 8 sett upp og stillt með nettengingu. Vinsamlegast lestu þessa grein um hvernig á að setja upp Debian 8
  2. Cisco netrofi 2940 (Flest önnur Cisco tæki munu virka líka en skipanir á rofanum/beini geta verið mismunandi).

Uppsetning á TACACS+ hugbúnaðinum á Debian 8

Fyrsta skrefið í uppsetningu þessa nýja TACACS netþjóns verður að kaupa hugbúnaðinn frá geymslunum. Þetta er auðveldlega gert með því að nota „apt“ skipunina.

# apt-get install tacacs+

Ofangreind skipun mun setja upp og ræsa netþjónsþjónustuna á port 49. Þetta er hægt að staðfesta með nokkrum tólum.

# lsof -i :49
# netstat -ltp | grep tac

Þessar tvær skipanir ættu að skila línu sem gefur til kynna að TACACS sé að hlusta á port 49 á þessu kerfi.

Á þessum tímapunkti er TACACS að hlusta eftir tengingum á þessari vél. Nú er kominn tími til að stilla TACACS þjónustuna og notendur.

Stilla TACACS þjónustu og notendur

Það er almennt góð hugmynd að binda þjónustu við tilteknar IP-tölur ef þjónninn er með mörg vistföng. Til að ná þessu verkefni er hægt að breyta sjálfgefnum púkavalkostum til að tilgreina IP tölu.

# nano /etc/default/tacacs+

Þessi skrá tilgreinir allar púkanastillingar sem TACACS kerfið ætti að ræsa. Sjálfgefin uppsetning mun aðeins tilgreina stillingarskrána. Með því að bæta við „-B“ rökum við þessa skrá er hægt að nota ákveðna IP tölu fyrir TACACS til að hlusta.

DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Sérstök athugasemd í Debian: Af einhverri ástæðu er tilraun til að endurræsa TACACS+ þjónustuna til að lesa nýju púkana valkostina misheppnuð (í gegnum þjónustu tacacs_plus endurræsa).

Vandamálið hér virðist vera þegar TACACS er ræst í gegnum init handritið, PID er statískt stillt á \PIDFILE=/var/run/tac_plus.pid en þegar \-B X.X.X.X“ er tilgreint sem púkavalkostur, nafni pid skráarinnar er breytt í \/var/run/tac_plus.pid.X.X.X.X.

Ég er ekki alveg viss um hvort þetta sé galli eða ekki en til að berjast gegn ástandinu tímabundið getur maður stillt PIDFILE handvirkt í init scriptinu með því að breyta línunni í \PIDFILE=/var/run/tac_plus.pid.X.X.X.X“ þar sem X.X.X.X er IP vistfangið sem TACACS ætti að hlusta á og hefja síðan þjónustuna með:

# service tacacs_plus start

Þegar þjónustan er endurræst er hægt að nota lsof skipunina aftur til að staðfesta að TACACS þjónustan sé að hlusta á rétta IP tölu.

# lsof -i :49

Eins og sést hér að ofan hlustar TACACS á IP-tölu á tilteknu IP-tölu eins og stillt er í TACACS sjálfgefna skránni hér að ofan. Á þessum tímapunkti þarf að búa til notendur og ákveðin skipanasett.

Þessum upplýsingum er stjórnað af annarri skrá: '/etc/tacacs+/tac_plus.conf'. Opnaðu þessa skrá með textaritli til að gera viðeigandi breytingar.

# nano /etc/tacacs+/tac_plus.conf

Þessi skrá er þar sem allar TACACS forskriftir ættu að vera (notendaheimildir, aðgangsstýringarlistar, hýsillyklar osfrv.). Það fyrsta sem þarf að búa til er lykill fyrir nettækin.

Það er mikill sveigjanleiki í þessu skrefi. Einn lykil er hægt að stilla fyrir öll nettæki eða marga lykla er hægt að stilla fyrir hvert tæki. Valkosturinn er undir notandanum komið en þessi handbók mun nota einn lykil til einfaldleika.

key = "super_secret_TACACS+_key"

Þegar lykill hefur verið stilltur ætti að búa til hópa sem ákvarða heimildirnar sem notendum verður úthlutað síðar. Að búa til hópa gerir úthlutun heimilda mun auðveldari. Hér að neðan er dæmi um að úthluta fullum stjórnandaréttindum.

group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. Hópnafnið er ákvarðað af línunni \group = admins þar sem admins er hópnafnið.
  2. Línan \default service = permit gefur til kynna að ef skipun er ekki beinlínis hafnað, þá leyfið henni þá óbeint.
  3. The \service = exec { priv-lvl = 15 } leyfir forréttindastigi 15 í exec ham á Cisco tæki (forréttindaþrep 15 er hæsta á Cisco búnaði).

Nú þarf að úthluta notanda í stjórnendahópinn.

user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. The \notandi = ræningi setning gerir notandanafni rænings aðgang að einhverju tilfangi.
  2. The \member = admins segir TACACS+ að vísa til fyrri hóps sem kallast admins fyrir skráningu yfir það sem þessi notandi hefur heimild til að gera.
  3. Síðasta línan, \login = des mjth124WPZapY er dulkóðað lykilorð fyrir þennan notanda til að auðkenna (hikaðu ekki við að nota kex til að finna út þetta ofur \flókna lykilorðsdæmi)!

Mikilvægt: Það er almennt best að setja dulkóðuð lykilorð inn í þessa skrá frekar en venjulegan texta þar sem það bætir örlítið öryggi ef einhver ætti að lesa þessa skrá og ætti ekki endilega að hafa aðgang.

Góð fyrirbyggjandi ráðstöfun fyrir þetta er að minnsta kosti að fjarlægja lestur heimsins á stillingarskránni líka. Þetta er hægt að ná með eftirfarandi skipun:

# chmod o-r /etc/tacacs+/tac_plus.conf
# service tacacs_plus reload

Á þessum tímapunkti er miðlarahliðin tilbúin fyrir tengingar frá nettækjum. Við skulum fara yfir á Cisco rofann núna og stilla hann til að eiga samskipti við þennan Debian TACACS+ netþjón.