Comment configurer l'authentification TACACS+ sur les switches via le contrôleur Omada

Knowledgebase
Configuration Guide
Authentication
08-19-2024
68

Contenu

Objectif

Exigences

Introduction

Configuration

Vérification

Conclusion

 

Objectif

Cet article décrit comment implémenter l’authentification TACACS+ sur le switch via des modèles CLI sur le contrôleur Omada.

Exigences

  • Switch Omada Smart / L2+ / L3
  • Contrôleur Omada (contrôleur logiciel / contrôleur matériel / contrôleur basé sur le cloud, V5.9 et supérieur)

Introduction

Pour améliorer la sécurité du réseau, nous pouvons utiliser TACACS+ pour implémenter le contrôle d'accès sur les commutateurs. Par exemple, lorsqu'un client connecté à un commutateur doit accéder au commutateur via le protocole SSH, il doit d'abord passer par le processus d'authentification. Dans la topologie réseau suivante, TACACS+ peut être configuré sur le contrôleur Omada via des modèles CLI pour garantir que seuls les utilisateurs authentifiés peuvent accéder au commutateur.

Configuration

Étape 1. Installez le serveur TACACS+ dans Ubuntu 20.04 (ou supérieur) en procédant comme suit :

1. Téléchargez le dernier fichier source du serveur TACACS+ sur ftp://ftp.shrubbery.net/pub/tac_plus.

2. Décompressez le fichier source : tar -zxvf tacacs-F4.0.4.28.tar.gz

3. Accédez aux fichiers décompressés : cd /path/to/tacacs-F4.0.4.28

4. Entrez ./configure . Si un message d'erreur s'affiche, exécutez la commande sudo apt-get install libwrap0-dev flex bison .

5. Exécutez sudo make install .

6. Ajoutez un chemin d'inclusion : sudo vi /etc/ld.so.conf . Après modification, enregistrez les paramètres et quittez. Accédez au terminal pour exécuter sudo ldconfig .

Étape 2. Configurez le serveur TACACS+.

1. Utilisez la commande sudo mkdir /etc/tacacs+ pour créer un nouveau dossier.

2. Créez un fichier de configuration tac_plus.conf dans le chemin /etc/tacacs+ : touch tac_plus.conf

3. Modifiez le fichier de configuration tac_plus.conf : sudo vi /etc/tacacs+/tac_plus.conf

Vous pouvez copier les lignes de commande suivantes dans le fichier de configuration tac_plus.conf en guise de tentative.

#Faites-en une clé forte

clé = tplink_123

# Utilisation de PAM local qui nous permet d'utiliser des utilisateurs Linux locaux

authentification par défaut = fichier /etc/passwd

#Définir les groupes auxquels nous ajouterons des utilisateurs plus tard

groupe = test1 {

service par défaut = permis

service = exécutable {

niveau-privé = 15

}

}

groupe = test2 {

service par défaut = refuser

service = exécutable {

niveau-privé = 1

}

}

groupe = test3 {

service par défaut = permis

login = fichier /etc/passwd

service = exécutable {

niveau-privé = 2

}

}

#Définir mes utilisateurs et les affecter aux groupes ci-dessus

utilisateur = gestionnaire {

membres = test1

}

utilisateur = utilisateur1 {

membre = test2

}

utilisateur = utilisateur2 {

membre = test3

}

 

Enregistrez et quittez le fichier modifié de tac_plus.conf, créez les utilisateurs concernés et définissez les mots de passe sur le système Linux.

Priv-lvl a 15 niveaux et quatre autorisations de gestion différentes sur le commutateur :

1 à 4 : autorisations utilisateur. Les utilisateurs peuvent uniquement afficher les paramètres, mais pas les modifier. Les fonctionnalités L3 ne peuvent pas être affichées.

5~9 : autorisations de super utilisateur. Les super utilisateurs peuvent afficher, modifier et modifier certaines fonctions, telles que VLAN, configuration HTTPS, Ping, etc.

10~14 : Autorisations de l'opérateur. Sur la base des autorisations du super utilisateur, les opérateurs peuvent également configurer le LAG, l'adresse MAC, le contrôle d'accès, la configuration SSH et d'autres paramètres.

15 : Privilège d'administrateur. L'administrateur peut afficher, modifier et modifier toutes les fonctions.

Remarque : les commutateurs qui ont été adoptés par le contrôleur Omada ne peuvent pas être configurés via CLI.

Étape 3. Redémarrez le serveur TACACS+ et ajoutez des utilisateurs. Chaque fois que vous modifiez le fichier tac_plus.conf, vous devez redémarrer le serveur TACACS+. Utilisez la commande sudo tac_plus -C /etc/tacacs+/tac_plus.conf pour redémarrer et la commande adduser pour ajouter des utilisateurs et définir des mots de passe dans le système Linux.

Gestionnaire d'ajout d'utilisateurs

ajouter un utilisateur utilisateur1

ajouter un utilisateur utilisateur2

Remarque : ici, « manager », « user1 » et « user2 » correspondent respectivement aux utilisateurs configurés dans le fichier tac_plus.conf. De même, pour ajouter de nouveaux utilisateurs, vous devez les ajouter dans le fichier tac_plus.conf et redémarrer le serveur TACACS+.

Étape 4. Définissez les modèles CLI sur le contrôleur Omada. Accédez à Paramètres > Configuration CLI > Interface CLI du périphérique et cliquez sur Créer un nouveau profil CLI du périphérique .

Spécifiez le nom et entrez les commandes CLI suivantes. Les commandes CLI ici sont utilisées pour attribuer l'adresse IP, le port et le secret de partage au serveur TACACS+ et pour implémenter l'authentification TACACS+ lorsque le commutateur est accessible via le protocole SSH.

tacacs-server hôte 192.168.0.30 port 49 délai d'attente 5 clé 0 tplink_123

test de connexion d'authentification aaa tacacs

ligne ssh

test d'authentification de connexion

Sélectionnez le commutateur cible dans la fenêtre contextuelle Choisir un périphérique et cliquez sur Confirmer . Cliquez ensuite sur Enregistrer pour enregistrer les paramètres.

Vérification

Accédez à Paramètres > Services > SSH pour activer la connexion SSH et cliquez sur Appliquer .

Lorsque vous utilisez PuTTY pour accéder au commutateur via SSH, le nom d'utilisateur et le mot de passe définis dans le serveur TACACS+ sont requis pour la connexion.

Conclusion

Vous avez configuré avec succès le serveur TACACS+ pour contrôler l’accès client au commutateur.

Pour en savoir plus sur chaque fonction et configuration, rendez-vous sur le Centre de téléchargement pour télécharger le manuel de votre produit.

Veuillez noter ce document

Documents connexes