Cómo configurar la autenticación TACACS+ en los switches a través del controlador Omada
Contenido
Este artículo describe cómo implementar la autenticación TACACS+ en el switch a través de plantillas CLI en el controlador Omada.
- Switches Omada Smart / L2+ / L3
- Controlador Omada (controlador software/controlador hardware/controlador basado en la nube, versión 5.9 y superior)
Para mejorar la seguridad de la red, podemos usar TACACS+ para implementar el control de acceso en los switches. Por ejemplo, cuando un cliente conectado a un switch necesita acceder al switch a través del protocolo SSH, primero debe pasar por el proceso de autenticación. En la siguiente topología de red, TACACS+ se puede configurar en el controlador Omada a través de plantillas CLI para garantizar que solo los usuarios autenticados puedan acceder al switch.
Paso 1. Instale el servidor TACACS+ en Ubuntu 20.04 (o superior) siguiendo estos pasos:
1. Descargue el último archivo fuente del servidor TACACS+ en ftp://ftp.shrubbery.net/pub/tac_plus.
2. Descomprima el archivo fuente: tar -zxvf tacacs-F4.0.4.28.tar.gz
3. Acceda a los archivos descomprimidos: cd /path/to/tacacs-F4.0.4.28
4. Ingrese ./configure . Si aparece un mensaje de error, ejecute el comando sudo apt-get install libwrap0-dev flex bison .
5. Ejecute sudo make install .
6. Agregue una ruta de inclusión: sudo vi /etc/ld.so.conf . Después de la modificación, guarde la configuración y salga. Vaya a la terminal para ejecutar sudo ldconfig .
Paso 2. Configurar el servidor TACACS+.
1. Utilice el comando sudo mkdir /etc/tacacs+ para crear una nueva carpeta.
2. Cree un archivo de configuración tac_plus.conf en la ruta /etc/tacacs+: toque tac_plus.conf
3. Modifique el archivo de configuración tac_plus.conf : sudo vi /etc/tacacs+/tac_plus.conf
Puede copiar las siguientes líneas de comando al archivo de configuración tac_plus.conf como intento.
#Make this a strong key
key = tplink_123
# Using local PAM which allows us to use local Linux users
default authentication = file /etc/passwd
#Define groups that we shall add users to later
group = test1 {
default service = permit
service = exec {
priv-lvl = 15
}
}
group = test2 {
default service = deny
service = exec {
priv-lvl = 1
}
}
group = test3 {
default service = permit
login = file /etc/passwd
service = exec {
priv-lvl = 2
}
}
#Defining my users and assigning them to groups above
user = manager {
member = test1
}
user = user1 {
member = test2
}
user = user2 {
member = test3
}
Guarde y salga del archivo editado de tac_plus.conf, cree usuarios relevantes y configure contraseñas en el sistema Linux.
Priv-lvl tiene 15 niveles y cuatro permisos de administración diferentes en el switch:
1~4: Permiso de usuario. Los usuarios solo pueden ver, pero no editar ni modificar la configuración. No se pueden ver las funciones de L3.
5~9: Permiso de superusuario. Los superusuarios pueden ver, editar y modificar algunas funciones, como VLAN, configuración HTTPS, ping, etc.
10~14 : Permiso de operador. Con el permiso de superusuario, los operadores también pueden configurar LAG, dirección MAC, control de acceso, configuración SSH y otros ajustes.
15: Privilegios de administrador. El administrador puede ver, editar y modificar todas las funciones.
Nota: Los switches que han sido adoptados por el controlador Omada no se pueden configurar a través de CLI.
Paso 3. Reinicie el servidor TACACS+ y agregue usuarios. Cada vez que modifique el archivo tac_plus.conf, deberá reiniciar el servidor TACACS+. Utilice el comando sudo tac_plus -C /etc/tacacs+/tac_plus.conf para reiniciar y el comando adduser para agregar usuarios y establecer contraseñas en el sistema Linux.
adduser manager
adduser user1
adduser user2
Nota: Aquí “manager”, “user1” y “user2” corresponden respectivamente a los usuarios configurados en el archivo tac_plus.conf. De manera similar, para agregar nuevos usuarios, es necesario agregarlos en el archivo tac_plus.conf y reiniciar el servidor TACACS+.
Paso 4. Configure las plantillas CLI en el controlador Omada. Vaya a Configuración > Configuración CLI > CLI del dispositivo y haga clic en Crear nuevo perfil CLI del dispositivo .
Especifique el nombre e ingrese los siguientes comandos CLI. Los comandos CLI que se usan aquí se utilizan para asignar la dirección IP, el puerto y el secreto de uso compartido al servidor TACACS+ y para implementar la autenticación TACACS+ cuando se accede al switch a través del protocolo SSH.
tacacs-server host 192.168.0.30 port 49 timeout 5 key 0 tplink_123
aaa authentication login test tacacs
line ssh
login authentication test
Seleccione el switch de destino en la ventana emergente Elegir dispositivo y haga clic en Confirmar . Luego, haga clic en Guardar para guardar la configuración.
Vaya a Configuración > Servicios > SSH para habilitar el inicio de sesión SSH y haga clic en Aplicar .
Al utilizar PuTTY para acceder al switch a través de SSH, se requiere el nombre de usuario y la contraseña configurados en el servidor TACACS+ para iniciar sesión.
Ha configurado correctamente el servidor TACACS+ para controlar el acceso del cliente al switch.
Para conocer más detalles de cada función y configuración, vaya al Centro de Descargas para descargar el manual de su producto.