Omada Pro Logo official website Vigi Logo official website
Contact Us
Brasil / Português

Como configurar a autenticação TACACS+ em switches através do controlador Omada

Knowledgebase
Configuration Guide
Autenticação
BookmarksCopiar link
08-19-2024
21650

Conteúdo

Objetivo

Requisitos

Introdução

Configuração

Verificação

Conclusão

 

Objetivo

Este artigo descreve como implementar a autenticação TACACS+ no switch por meio de modelos de CLI no Controlador Omada.

Requisitos

  • Switches Omada Smart / L2+ / L3
  • Controlador Omada (Software Controller / Hardware Controller / Cloud-Based Controller, V5.9 e superior)

Introdução

Para aumentar a segurança da rede, podemos usar o TACACS+ para implementar o controle de acesso nos switches. Por exemplo, quando um cliente conectado a um switch precisa acessar o switch via protocolo SSH, ele deve primeiro passar pelo processo de autenticação. Na topologia de rede a seguir, o TACACS+ pode ser configurado no Controlador Omada por meio de modelos de CLI para garantir que apenas usuários autenticados possam acessar o switch.

Configuração

Passo 1. Instale o Servidor TACACS+ no Ubuntu 20.04 (or superior) por meio das seguintes etapas:

1. Baixe o arquivo de origem mais recente do Servidor TACACS+ em ftp://ftp.shrubbery.net/pub/tac_plus.

2. Descompacte o arquivo de origem: tar -zxvf tacacs-F4.0.4.28.tar.gz

3. Acesse os arquivos descompactados: cd /path/to/tacacs-F4.0.4.28

4. Insira ./configure. Se uma mensagem de erro for exibida, execute o comando sudo apt-get install libwrap0-dev flex bison.

5. Execute sudo make install.

6. Adicione um caminho de inclusão: sudo vi /etc/ld.so.conf. Após a modificação, salve as configurações e saia. Vá ao terminal para executar sudo ldconfig.

Passo 2. Configure o Servidor TACACS+.

1. Use o comando sudo mkdir /etc/tacacs+ para criar uma nova pasta.

2. Crie um arquivo de configuração tac_plus.conf no caminho /etc/tacacs+: touch tac_plus.conf

3. Modifique o arquivo de configuração tac_plus.conf: sudo vi /etc/tacacs+/tac_plus.conf

Você pode copiar as seguintes linhas de comando para o arquivo de configuração tac_plus.conf como um teste.

#Make this a strong key

key = tplink_123

# Using local PAM which allows us to use local Linux users

default authentication = file /etc/passwd

#Define groups that we shall add users to later

group = test1 {

default service = permit

service = exec {

priv-lvl = 15

}

}

group = test2 {

default service = deny

service = exec {

priv-lvl = 1

}

}

group = test3 {

default service = permit

login = file /etc/passwd

service = exec {

priv-lvl = 2

}

}

#Defining my users and assigning them to groups above

user = manager {

member = test1

}

user = user1 {

member = test2

}

user = user2 {

member = test3

}

 

Salve e saia do arquivo editado de tac_plus.conf, crie os usuários correspondentes e defina as senhas no sistema Linux.

O nível de privilégio (priv-lvl) possui 15 níveis e quatro permissões de gerenciamento diferentes no switch:

1~4: Permissão de usuário (User). Os usuários só podem visualizar, mas não podem editar ou modificar as configurações. Recursos de L3 não podem ser visualizados.

5~9: Permissão de superusuário (Super User). Os superusuários podem visualizar, editar e modificar algumas funções, como VLAN, configuração de HTTPS, Ping, etc.

10~14: Permissão de operador (Operator). Com base na permissão de superusuário, os operadores também podem configurar LAG, endereço MAC, controle de acesso, configuração de SSH e outros ajustes.

15: Privilégio de administrador (Administrator). O administrador pode visualizar, editar e modificar todas as funções.

Nota: Switches que foram adotados pelo Controlador Omada não podem ser configurados diretamente via CLI local.

Passo 3. Reinicie o Servidor TACACS+ e adicione os usuários. Sempre após modificar o arquivo tac_plus.conf, você precisa reiniciar o Servidor TACACS+. Use o comando sudo tac_plus -C /etc/tacacs+/tac_plus.conf para reiniciar e o comando adduser para adicionar usuários e definir senhas no sistema Linux.

adduser manager

adduser user1

adduser user2

Nota: Aqui “manager”, “user1” e “user2” correspondem respectivamente aos usuários configurados no arquivo tac_plus.conf. Da mesma forma, para adicionar novos usuários, você precisa incluí-los no arquivo tac_plus.conf e reiniciar o Servidor TACACS+.

Passo 4. Defina os modelos de CLI no Controlador Omada. Vá em Configurações (Settings) > Configuração de CLI (CLI Configuration) > CLI do Dispositivo (Device CLI) e clique em Criar Novo Perfil de CLI do Dispositivo (Create New Device CLI Profile).

Especifique o nome e insira os seguintes comandos de CLI. Os comandos de CLI aqui são usados para atribuir o endereço IP, a porta e o segredo de compartilhamento (key) ao Servidor TACACS+ e para implementar a autenticação TACACS+ quando o switch for acessado via protocolo SSH.

tacacs-server host 192.168.0.30 port 49 timeout 5 key 0 tplink_123

aaa authentication login test tacacs

line ssh

login authentication test

Selecione o switch de destino na janela pop-up de Escolher Dispositivo (Choose Device) e clique em Confirmar (Confirm). Em seguida, clique em Salvar (Save) para gravar as configurações.

Verificação

Vá em Configurações (Settings) > Serviços (Services) > SSH para habilitar o Acesso via SSH (SSH Login) e clique em Aplicar (Apply).

Ao usar o PuTTY para acessar o switch via SSH, o nome de usuário e a senha definidos no Servidor TACACS+ serão exigidos para o login.

Conclusão

Você configurou com sucesso o Servidor TACACS+ para controlar o acesso dos clientes ao switch.

Para saber mais detalhes de cada função e configuração, por favor acesse o Centro de Downloads para baixar o manual do seu produto.

Por favor, avalie este documento

Documentos relacionados

Guia de resolução de problemas para falhas de autenticação TACACS+ no switch Omada

Troubleshooting Guide
Autenticação
10-28-2024
21408

Como obter autenticação AAA através do servidor TACACS + no switch

Configuration Guide
11-22-2021
18845

Como configurar VRRP em switches Omada L3 através do controlador Omada SDN

Configuration Guide
03-26-2024
29242

Como configurar LAG (LACP) em switches Omada através do controlador Omada

Configuration Guide
06-27-2024
49137

Como configurar o Auto-VoIP em switches Omada através do controlador Omada

Configuration Guide
08-28-2024
21284

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Your Privacy Choices

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Cookies básicos

Esses cookies são necessários para o funcionamento do site e não podem ser desativados em seus sistemas.

TP-Link

SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_banner, tp_privacy_base, tp_privacy_marketing, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Zendesk

OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance

Cookies de Marketing e Análise

Os cookies de análise nos permitem analisar suas atividades em nosso site para melhorar e adaptar a funcionalidade do mesmo.

Os cookies de marketing podem ser definidos por meio de nosso site por nossos parceiros publicitários para criar um perfil de seus interesses e exibir anúncios relevantes em outros sites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au