Cómo configurar la autenticación TACACS+ en los switches a través del controlador Omada

Knowledgebase
Configuration Guide
Authentication
08-19-2024
138

Contenido

Objetivo

Requisitos

Introducción

Configuración

Verificación

Conclusión

 

Objetivo

Este artículo describe cómo implementar la autenticación TACACS+ en el switch a través de plantillas CLI en el controlador Omada.

Requisitos

  • Switches Omada Smart / L2+ / L3
  • Controlador Omada (controlador software/controlador hardware/controlador basado en la nube, versión 5.9 y superior)

Introducción

Para mejorar la seguridad de la red, podemos usar TACACS+ para implementar el control de acceso en los switches. Por ejemplo, cuando un cliente conectado a un switch necesita acceder al switch a través del protocolo SSH, primero debe pasar por el proceso de autenticación. En la siguiente topología de red, TACACS+ se puede configurar en el controlador Omada a través de plantillas CLI para garantizar que solo los usuarios autenticados puedan acceder al switch.

Configuración

Paso 1. Instale el servidor TACACS+ en Ubuntu 20.04 (o superior) siguiendo estos pasos:

1. Descargue el último archivo fuente del servidor TACACS+ en ftp://ftp.shrubbery.net/pub/tac_plus.

2. Descomprima el archivo fuente: tar -zxvf tacacs-F4.0.4.28.tar.gz

3. Acceda a los archivos descomprimidos: cd /path/to/tacacs-F4.0.4.28

4. Ingrese ./configure . Si aparece un mensaje de error, ejecute el comando sudo apt-get install libwrap0-dev flex bison .

5. Ejecute sudo make install .

6. Agregue una ruta de inclusión: sudo vi /etc/ld.so.conf . Después de la modificación, guarde la configuración y salga. Vaya a la terminal para ejecutar sudo ldconfig .

Paso 2. Configurar el servidor TACACS+.

1. Utilice el comando sudo mkdir /etc/tacacs+ para crear una nueva carpeta.

2. Cree un archivo de configuración tac_plus.conf en la ruta /etc/tacacs+: toque tac_plus.conf

3. Modifique el archivo de configuración tac_plus.conf : sudo vi /etc/tacacs+/tac_plus.conf

Puede copiar las siguientes líneas de comando al archivo de configuración tac_plus.conf como intento.

#Make this a strong key

key = tplink_123

# Using local PAM which allows us to use local Linux users

default authentication = file /etc/passwd

#Define groups that we shall add users to later

group = test1 {

default service = permit

service = exec {

priv-lvl = 15

}

}

group = test2 {

default service = deny

service = exec {

priv-lvl = 1

}

}

group = test3 {

default service = permit

login = file /etc/passwd

service = exec {

priv-lvl = 2

}

}

#Defining my users and assigning them to groups above

user = manager {

member = test1

}

user = user1 {

member = test2

}

user = user2 {

member = test3

}

 

Guarde y salga del archivo editado de tac_plus.conf, cree usuarios relevantes y configure contraseñas en el sistema Linux.

Priv-lvl tiene 15 niveles y cuatro permisos de administración diferentes en el switch:

1~4: Permiso de usuario. Los usuarios solo pueden ver, pero no editar ni modificar la configuración. No se pueden ver las funciones de L3.

5~9: Permiso de superusuario. Los superusuarios pueden ver, editar y modificar algunas funciones, como VLAN, configuración HTTPS, ping, etc.

10~14 : Permiso de operador. Con el permiso de superusuario, los operadores también pueden configurar LAG, dirección MAC, control de acceso, configuración SSH y otros ajustes.

15: Privilegios de administrador. El administrador puede ver, editar y modificar todas las funciones.

Nota: Los switches que han sido adoptados por el controlador Omada no se pueden configurar a través de CLI.

Paso 3. Reinicie el servidor TACACS+ y agregue usuarios. Cada vez que modifique el archivo tac_plus.conf, deberá reiniciar el servidor TACACS+. Utilice el comando sudo tac_plus -C /etc/tacacs+/tac_plus.conf para reiniciar y el comando adduser para agregar usuarios y establecer contraseñas en el sistema Linux.

adduser manager

adduser user1

adduser user2

Nota: Aquí “manager”, “user1” y “user2” corresponden respectivamente a los usuarios configurados en el archivo tac_plus.conf. De manera similar, para agregar nuevos usuarios, es necesario agregarlos en el archivo tac_plus.conf y reiniciar el servidor TACACS+.

Paso 4. Configure las plantillas CLI en el controlador Omada. Vaya a Configuración > Configuración CLI > CLI del dispositivo y haga clic en Crear nuevo perfil CLI del dispositivo .

Especifique el nombre e ingrese los siguientes comandos CLI. Los comandos CLI que se usan aquí se utilizan para asignar la dirección IP, el puerto y el secreto de uso compartido al servidor TACACS+ y para implementar la autenticación TACACS+ cuando se accede al switch a través del protocolo SSH.

tacacs-server host 192.168.0.30 port 49 timeout 5 key 0 tplink_123

aaa authentication login test tacacs

line ssh

login authentication test

Seleccione el switch de destino en la ventana emergente Elegir dispositivo y haga clic en Confirmar . Luego, haga clic en Guardar para guardar la configuración.

Verificación

Vaya a Configuración > Servicios > SSH para habilitar el inicio de sesión SSH y haga clic en Aplicar .

Al utilizar PuTTY para acceder al switch a través de SSH, se requiere el nombre de usuario y la contraseña configurados en el servidor TACACS+ para iniciar sesión.

Conclusión

Ha configurado correctamente el servidor TACACS+ para controlar el acceso del cliente al switch.

Para conocer más detalles de cada función y configuración, vaya al Centro de Descargas para descargar el manual de su producto.

Evalúa este documento

Documentos relacionados