Konfiguracja serwera TACACS

Wprowadzenie do TACACS+    

Opracowanie Terminal Access Controller Access-Control System przypada na 1980rok. Obecnie pełna nazwa protokołu po wszelkich usprawnieniach nazywa się TACACS+.       TACACS+ jest jedynie obsługiwany przez producenta CISCO – w odniesieniu do RADIUS, który jako otwarty protokół może być obsługiwany przez wielu dostawców. Terminal Access Controller Access-Control System wykorzystuje protokół transportowy TCP. W przypadku TACACS+ cała komunikacja jest szyfrowana – z tego względu jest bezpieczny.

Głównym  zadaniem      protokołu TACACS+ jest      zweryfikowanie      danych o użytkownikach, a dzięki temu można z nich skorzystać do uwierzytelniania na urządzeniach w środowisku sieciowym.

Wykorzystanie metody AAA w protokole TACACS+      

Do jednej z bardziej zaawansowanych metod w celu dostępu do konfiguracji urządzeń sieciowych należy sposób potrójnego A:

  1. Authentication – sprawdzenie wiarygodności użytkownika ze stanem faktycznym.
  2. Authorization – sprawdzenie zasobów, które posiada użytkownik.
  3. Accounting – sprawdzenie ,,działań” jakich dokonał użytkownik tzw. logi.

Sposób potrójnego A dotyczy użycia lokalnej bazy użytkowników jaka znajduje się na urządzeniu, dodatkowo także bazy danych użytkowników jakich informacje są zapisane na serwerach logowania – właśnie te stosują protokół uwierzytelniania TACACS+.

W jaki sposób przedstawia się wymiana danych w serwer TACACS+    

Powyższy rysunek ukazuje przebieg uwierzytelniania z użyciem TACACS+ . Proces następuje etapami.

Wszystko rozpoczyna się od nawiązania połączenia przez klienta z routerem, później router wysyła      zapytanie mające na celu wprowadzenie nazwy użytkownika.

Serwer TACACS+ akceptuje żądanie w kroku numer 2, wówczas zachodzi potrzeba wprowadzenia nazwy klienta użytkownika – ta ma zostać dostarczona przez router do serwera. Procedura tak samo wygląda w przypadku hasła. Podanie właściwych danych poskutkuje uzyskaniem dostępu do serwera, a błędne skończy się odrzuceniem połączenia.

Konfiguracja serwer TACACS+ na przykładzie

Powyższa topologia składa się z następujących urządzeń:

  1. Trzy stacje robocze: H1,H2,H3
  2. Przełącznik: SW1
  3. Serwer TACACS+  AAA Server Tacacs

Zadania do wykonania

  1. Prawidłowa komunikacja wszystkich urządzeń w VLAN1.
  2. Konfiguracja na serwerze TACACS+  modelu AAA.
  3. Możliwość połączenia się użytkownika przez połączenie TELNET z jednej stacji roboczej

SW:

 Switch>en
 Switch#conf t
 Enter configuration commands, one per line.  End with CNTL/Z.
 Switch(config)#interface vlan 1
 Switch(config-if)#ip address 192.168.0.2 255.255.255.0
 Switch(config-if)#no shutdown
  
 Switch(config-if)#
 %LINK-5-CHANGED: Interface Vlan1, changed state to up
  
 %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
  
 Switch(config-if)#exit
 Switch(config)#hostname SW1
 SW1(config)#aaa new-model 
 SW1(config)#username ipcisco password abcabc
 SW1(config)#aaa authentication login IPCISCOAUTH group tacacs+ local
 SW1(config)#tacacs-server host 192.168.0.1 key xyz
 SW1(config)#line vty 0 4
 SW1(config-line)#login authentication IPCISCOAUTH
 SW1(config-line)#exit
 SW1(config)#aaa authorization exec default group tacacs+ local 

Stacje robocze – H1,H2,H3:

Ustawienia serwera TACACS+    

Sprawdzenie dostępu użytkownika do serwera TACACS+       ze stacji roboczej:

Prawidłowa komunikacja wszystkich stacji roboczych w sieci VLAN 1: