21T24 Serwer TACACS w 6 min. [Konfiguracja]

Admin Login

Link do artykułu.

0:00 Wprowadzenie

0:15 Topologia

0:47 Konfiguracja na Switchu

2:25 Konfiguracja Przełącznika

3:24 Konfiguracja TACACS na Przełączniku

3:44 Konfiguracja Dostępu do Konsoli

4:10 Ustawienie Autoryzacji

4:40 Próba Logowania

5:11 Podsumowanie

Transkrypcja

Cześć. Chcesz zobaczyć, jak sprawnie można skonfigurować serwer TACACS i połączyć do switcha? Jeżeli tak, to właśnie w dzisiejszym odcinku będę pokazywał, jak to zrobić.

Zacznijmy od topologii. Mamy tutaj 3 hosty: PC1 PC2 i laptop. Mamy przełącznik SW1 i ten właśnie przełącznik będziemy konfigurować pod TACACSA. Mamy serwer TACACS pod adresem 192.168.0.1/24. To, co tutaj będziemy chcieli zdobyć, to przede wszystkim skonfigurować switcha, a następnie z urządzenia podłączyć się końcowego do tego switcha za pomocą poświadczeń i TACACSA.

Zaczynajmy konfigurację, jeżeli chodzi o część konfiguracji na switchu, to konfigurujemy przede wszystkim serwis, czyli trzeba wpisać ten przełącznik jako klienta, TACACS’owego. Jego adres IP w naszym przypadku 192.168.0.2. Oprócz tego trzeba będzie dopisać Secret. To za chwilę będzie edytowane tutaj przez Mateusza i wskazać, jaki typ serwera jest używany, czyli TACACS. Oprócz tego trzeba wpisać nazwę użytkownika i jego hasło. Tutaj akurat do lokalnej bazy użytkowników. Idziemy dalej. Tylko tutaj trzeba dodatkowo zmienić Secret. Secret jest zabezpieczeniem, to jest współdzielone hasło, jest zabezpieczenie pomiędzy serwerem TACACS, a przełącznikiem po to, żeby tylko znające to współdzielone hasło urządzenia mogły komunikować się bezpiecznie w ten sposób. Ten Secret musi być tutaj w tym switchu. Nie można dodać drugiego wpisu na TACACS’ie, zawierającego ten sam adres IP. W związku z tym trzeba wyedytować tego switcha. Pokazał się key XYZ. Mamy użytkownika,
więc serwer TACACS’owy jest skonfigurowany prawidło.

Teraz możemy przejść do konfiguracji przełącznika i na przełączniku mamy już skonfigurowany host name, mamy skonfigurowane adresy IP. Vlan zarządzający vlan pierwszy, więc możemy iść dalej do konfiguracji tej funkcjonalności uwierzytelniania. Żeby to zrobić przełączamy tryb tego przełącznika w new model, następnie, jaki rodzaj uwierzytelniania będzie. Uwierzytelniania dotyczące logowania. Nazwa tej grupy, którą będziemy tworzyć, a następnie po kolei, jak będziemy wykonywać logowane, czyli będziemy używać TACACSA, chyba że TACACSA nie będzie, będzie niedostępny, wtedy będziemy na switchu uwierzytelniać użytkowników kontami lokalnym.
Dopóki TACACS będzie działał, konta lokalne nie będą używane. Typowy scenariusz implementacji.

Kolejny krok, to konfiguracja TACACSA na przełączniku. Wpisujemy TACACS-serwer, host, adres IP hosta i klucz. Ten współdzielony klucz, który wcześniej konfigurowaliśmy po stronie TACACSA: xyz. Te klucze muszą się zgadzać. Inaczej urządzenia się ze sobą nie dogadają. Kolejnym krokiem jest przejście do konfiguracji kontekstu wirtualnych konsol od zera do cztery. 4 konsole standardowo konfigurujemy. I tutaj konfigurujemy, że rodzaj dostępu do konsoli to będzie logowanie z uwierzytelnieniem dla grupy IPCISCOAUTH. Czyli to co wcześniej ustawiliśmy tutaj powyżej. Dalej mamy do ustawienia autoryzację. Czyli to, że się uwierzytelnimy do urządzenia, to jest jeden element, który potrzebujemy skonfigurować, a to, z jakim poziomiem uprawnień się dostaniemy do tego przełącznika, to jest drugi aspekt konfiguracji. Tutaj konfigurujemy podobnie jak przy uwierzytelnianiu, że będziemy używać serwer TACACS, a jeżeli nie będzie działał, to konta lokalne. Teraz możemy spróbować się zalogować, jak już mamy tę konfigurację i powinniśmy użyć tego konta, skonfigurowanego na serwerze TACACS. Telnet na adres 192.168.0.2, czyli na przełącznik. Użytkownik skonfigurowany
na TACACS’ie, ipcisco, hasło. Tym razem hasło było nieprawidłowe,
więc spróbujmy jeszcze raz. Ipcisco, hasło i jesteśmy zalogowani na przełączniku SW1.

Jak widzisz konfiguracja nie jest skomplikowana, wystarczy po jednej stronie, czyli po stronie TACACSA i po stronie przełącznika pewne elementy konieczne skonfigurować i możemy się uwierzytelniać w sposób bezpieczny. Jeżeli jesteś zainteresowany szerszym kontekstem tego zagadnienia, dlaczego warto to stosować, jakie to ma zalety, jakie ma wady, to oczywiście o tym szerzej opowiem w moim podcaście. Zapraszam Cię do niego. Link zarówno do podcastu jak i do artykułu pisanego, jest dostępny pod tym wideo. Możesz spokojnie obie rzeczy znaleźć. Gdybyś miał jakiś problem albo pytanie, pisz oczywiście w komentarzu. Dziękuję Ci dzisiaj za uwagę i do usłyszenia już za tydzień.