Comment réaliser l'authentification AAA via le serveur TACACS + sur le switch
TACACS + crypte l'ensemble du message, et l'authentification et l'autorisation peuvent être séparées. Le nom d'utilisateur et le mot de passe peuvent être vérifiés respectivement, ce qui est mieux que la sécurité de radius. Il convient aux scénarios nécessitant une sécurité élevée.
Remarque : À l'heure actuelle, l'authentification 802.1X du commutateur ne prend en charge que l'utilisation avec le serveur Radius. La configuration fonctionnelle du serveur TACACS + ne comprend que l'authentification et l'autorisation, et la fonction de facturation ne peut pas être utilisée.
Partie 1. Construire un simple serveur TACACS + sur un système Linux
Étape 1. Installation de TACACS+
Le package TACACS+ est disponible dans les référentiels Ubuntu, entrez la commande suivante en mode root pour installer
apt-get install tacacs+
Étape 2. Configuration TACACS+
Une fois celui-ci installé, nous procédons à la configuration du serveur TACACS+ selon nos besoins. Sur une installation par défaut, le fichier de configuration se trouve ici /etc/tacacs+/tac_plus.conf Ouvrez le fichier avec votre éditeur préféré et apportez les modifications ci-dessous.
vi /etc/tacacs+/tac_plus.conf
#Faites-en une clé forte
clé = tplink2021
# Utilisation de PAM local qui nous permet d'utiliser des utilisateurs Linux locaux
authentification par défaut = fichier /etc/passwd
#Définir les groupes auxquels nous ajouterons des utilisateurs plus tard
#Dans cet exemple, j'ai défini 3 groupes et leur attribue des privilèges respectifs. Test1 est un privilège d'administrateur, test2 et test3 sont un privilège d'utilisateur, mais test3 peut obtenir un privilège d'administrateur en fonction du mot de passe supplémentaire défini. Le mot de passe est généré automatiquement selon la commande tac_pwd comme ci-dessous.
groupe = test1 {
service par défaut = permis
service = exec {
priv-lvl = 15
}
}
groupe = test2 {
service par défaut = refuser
service = exec {
priv-lvl = 1
}
}
groupe = test3 {
service par défaut = permis
login = file/etc/passwd
activer = Gbptgx46GpgrA
service = exec {
priv-lvl = 2
}
}
#Définir mes utilisateurs et les affecter aux groupes ci-dessus
utilisateur = gestionnaire {
membre = test1
}
utilisateur = utilisateur1 {
membre = test2
}
utilisateur = utilisateur2 {
membre = test3
}
Priv-lvl a 15 niveaux et quatre autorisations de gestion différentes sur le commutateur :
1 ~ 4:Les autorisations utilisateur , qui ne peuvent être affichées et définies, ne peuvent pas être éditées et modifiées, et les fonctionnalités L3 ne peuvent pas être affichées
5 ~ 9 : autorisation super utilisateur , vous pouvez afficher, éditer et modifier certaines fonctions, telles que VLAN, configuration HTTPS, Ping, etc.
10~14 : autorisations de l'opérateur . Sur la base des autorisations de super utilisateur, vous pouvez également effectuer un décalage, une adresse MAC, un contrôle d'accès, une configuration SSH et d'autres fonctions
15 : privilèges d' administrateur , vous pouvez afficher, éditer et modifier toutes les fonctions
#Enregistrez et quittez le fichier édité de tac_plus.conf , créez des utilisateurs pertinents et définissez des mots de passe sur le système Linux.
gestionnaire d'ajout d'utilisateur
adduser user1
adduser user2
Étape 3. Démarrage de TACACS+
# Commencez à écouter le port 49, indiquant que le démarrage est réussi.
/etc/init.d/tacacs_plus démarrer
Remarque : Après chaque modification du fichier de configuration, redémarrez le serveur TACACS +.
Partie 2. Configurations sur le switch
En prenant la topologie de la figure suivante comme exemple, l'interface de gestion du commutateur de connexion doit être authentifiée par le serveur TACACS + pour assurer la sécurité du réseau.
Étape 1. Choisissez le menu SECURITY > AAA > TACACS+ Config et cliquez sur Add pour charger la page suivante. Configurez l'IP du serveur comme 192.168.0.100, la clé partagée comme tplink2021, le port du serveur comme 49.
Étape 2. Choisissez le menu SECURITY > AAA > Method Config et cliquez sur dans la section Authentication Login Method Config . Spécifiez le nom de la liste de méthodes par défaut et sélectionnez le Pri1 comme tacacs.
Étape 3. Sur la même page, cliquez sur dans la configuration de méthode d'enable d'authentification . Spécifiez le nom de la liste de méthodes par défaut et sélectionnez le Pri1 comme tacacs. Cliquez sur Créer pour définir la liste des méthodes pour l'authentification par mot de passe Activer
Cas 1. Toutes les méthodes de gestion des commutateurs de connexion doivent être authentifiées par le serveur TACACS +
Choisissez le menu SECURITE > AAA > Global Config pour charger la page suivante. Dans la section Configuration de l'application AAA , sélectionnez tous les modules la méthode de connexion et la méthode d'activation par défaut.
À ce stade, la configuration du commutateur est terminée. Ni HTTP ni TELNET ne peuvent se connecter à l'interface de gestion avec le compte administrateur par défaut via le client.
Cas 2. À l'exception de Telnet, toutes les méthodes de gestion des commutateurs de connexion doivent être authentifiées par le serveur TACACS +.
Choisissez le menu SECURITY > AAA > Method Config et cliquez dans les sections Authentication Login Method Config et Authentication Enable Method Config . Spécifiez le nom de la liste de méthodes comme telnet et sélectionnez le Pri1 comme local dans les deux sections.
Choisissez le menu SECURITE > AAA > Global Config pour charger la page suivante. Dans la configuration d'application AAA , sélectionnez le module de telnet, la méthode de connexion et la méthode d'activation en tant que telnet.
À ce stade, vous pouvez utiliser le compte administrateur par défaut pour vous connecter au commutateur via telnet.
Cas 3. Lors de la connexion avec l'autorité utilisateur, définissez un mot de passe administrateur supplémentaire sur le serveur TACACS + et entrez le mot de passe défini dans l'interface ci-dessous pour passer de l'autorité utilisateur à l'autorité administrateur.