Comment configurer l'authentification TACACS+ sur les switches via le contrôleur Omada
Contenu
Cet article décrit comment implémenter l’authentification TACACS+ sur le switch via des modèles CLI sur le contrôleur Omada.
- Switch Omada Smart / L2+ / L3
- Contrôleur Omada (contrôleur logiciel / contrôleur matériel / contrôleur basé sur le cloud, V5.9 et supérieur)
Pour améliorer la sécurité du réseau, nous pouvons utiliser TACACS+ pour implémenter le contrôle d'accès sur les commutateurs. Par exemple, lorsqu'un client connecté à un commutateur doit accéder au commutateur via le protocole SSH, il doit d'abord passer par le processus d'authentification. Dans la topologie réseau suivante, TACACS+ peut être configuré sur le contrôleur Omada via des modèles CLI pour garantir que seuls les utilisateurs authentifiés peuvent accéder au commutateur.
Étape 1. Installez le serveur TACACS+ dans Ubuntu 20.04 (ou supérieur) en procédant comme suit :
1. Téléchargez le dernier fichier source du serveur TACACS+ sur ftp://ftp.shrubbery.net/pub/tac_plus.
2. Décompressez le fichier source : tar -zxvf tacacs-F4.0.4.28.tar.gz
3. Accédez aux fichiers décompressés : cd /path/to/tacacs-F4.0.4.28
4. Entrez ./configure . Si un message d'erreur s'affiche, exécutez la commande sudo apt-get install libwrap0-dev flex bison .
5. Exécutez sudo make install .
6. Ajoutez un chemin d'inclusion : sudo vi /etc/ld.so.conf . Après modification, enregistrez les paramètres et quittez. Accédez au terminal pour exécuter sudo ldconfig .
Étape 2. Configurez le serveur TACACS+.
1. Utilisez la commande sudo mkdir /etc/tacacs+ pour créer un nouveau dossier.
2. Créez un fichier de configuration tac_plus.conf dans le chemin /etc/tacacs+ : touch tac_plus.conf
3. Modifiez le fichier de configuration tac_plus.conf : sudo vi /etc/tacacs+/tac_plus.conf
Vous pouvez copier les lignes de commande suivantes dans le fichier de configuration tac_plus.conf en guise de tentative.
#Faites-en une clé forte
clé = tplink_123
# Utilisation de PAM local qui nous permet d'utiliser des utilisateurs Linux locaux
authentification par défaut = fichier /etc/passwd
#Définir les groupes auxquels nous ajouterons des utilisateurs plus tard
groupe = test1 {
service par défaut = permis
service = exécutable {
niveau-privé = 15
}
}
groupe = test2 {
service par défaut = refuser
service = exécutable {
niveau-privé = 1
}
}
groupe = test3 {
service par défaut = permis
login = fichier /etc/passwd
service = exécutable {
niveau-privé = 2
}
}
#Définir mes utilisateurs et les affecter aux groupes ci-dessus
utilisateur = gestionnaire {
membres = test1
}
utilisateur = utilisateur1 {
membre = test2
}
utilisateur = utilisateur2 {
membre = test3
}
Enregistrez et quittez le fichier modifié de tac_plus.conf, créez les utilisateurs concernés et définissez les mots de passe sur le système Linux.
Priv-lvl a 15 niveaux et quatre autorisations de gestion différentes sur le commutateur :
1 à 4 : autorisations utilisateur. Les utilisateurs peuvent uniquement afficher les paramètres, mais pas les modifier. Les fonctionnalités L3 ne peuvent pas être affichées.
5~9 : autorisations de super utilisateur. Les super utilisateurs peuvent afficher, modifier et modifier certaines fonctions, telles que VLAN, configuration HTTPS, Ping, etc.
10~14 : Autorisations de l'opérateur. Sur la base des autorisations du super utilisateur, les opérateurs peuvent également configurer le LAG, l'adresse MAC, le contrôle d'accès, la configuration SSH et d'autres paramètres.
15 : Privilège d'administrateur. L'administrateur peut afficher, modifier et modifier toutes les fonctions.
Remarque : les commutateurs qui ont été adoptés par le contrôleur Omada ne peuvent pas être configurés via CLI.
Étape 3. Redémarrez le serveur TACACS+ et ajoutez des utilisateurs. Chaque fois que vous modifiez le fichier tac_plus.conf, vous devez redémarrer le serveur TACACS+. Utilisez la commande sudo tac_plus -C /etc/tacacs+/tac_plus.conf pour redémarrer et la commande adduser pour ajouter des utilisateurs et définir des mots de passe dans le système Linux.
Gestionnaire d'ajout d'utilisateurs
ajouter un utilisateur utilisateur1
ajouter un utilisateur utilisateur2
Remarque : ici, « manager », « user1 » et « user2 » correspondent respectivement aux utilisateurs configurés dans le fichier tac_plus.conf. De même, pour ajouter de nouveaux utilisateurs, vous devez les ajouter dans le fichier tac_plus.conf et redémarrer le serveur TACACS+.
Étape 4. Définissez les modèles CLI sur le contrôleur Omada. Accédez à Paramètres > Configuration CLI > Interface CLI du périphérique et cliquez sur Créer un nouveau profil CLI du périphérique .
Spécifiez le nom et entrez les commandes CLI suivantes. Les commandes CLI ici sont utilisées pour attribuer l'adresse IP, le port et le secret de partage au serveur TACACS+ et pour implémenter l'authentification TACACS+ lorsque le commutateur est accessible via le protocole SSH.
tacacs-server hôte 192.168.0.30 port 49 délai d'attente 5 clé 0 tplink_123
test de connexion d'authentification aaa tacacs
ligne ssh
test d'authentification de connexion
Sélectionnez le commutateur cible dans la fenêtre contextuelle Choisir un périphérique et cliquez sur Confirmer . Cliquez ensuite sur Enregistrer pour enregistrer les paramètres.
Accédez à Paramètres > Services > SSH pour activer la connexion SSH et cliquez sur Appliquer .
Lorsque vous utilisez PuTTY pour accéder au commutateur via SSH, le nom d'utilisateur et le mot de passe définis dans le serveur TACACS+ sont requis pour la connexion.
Vous avez configuré avec succès le serveur TACACS+ pour contrôler l’accès client au commutateur.
Pour en savoir plus sur chaque fonction et configuration, rendez-vous sur le Centre de téléchargement pour télécharger le manuel de votre produit.