Конфигурация клиента TACACS
Обзор
Протокол Terminal Access Controller Access Control System (TACACS) — это протокол удаленной аутентификации, который используется для взаимодействия с сервером аутентификации. С помощью TACACS сетевое устройство взаимодействует с сервером аутентификации, чтобы определить, должен ли конкретный пользователь получить доступ к устройству. TACACS+ использует порт 49.
Аутентификация сервера TACACS
Рисунок 12-19: Конфигурация хоста сервера TACACS
Аутентификация устройства
#configure terminal | Перейти в режим конфигурации. |
(config)#feature tacacs\+ vrf management | Включить функцию TACACS+ для VRF управления. |
(config)#feature tacacs\+ | Включить функцию TACACS+ для VRF по умолчанию. |
(config)#tacacs-server login key testing101 vrf management | Указать глобальный ключ для серверов TACACS, которые не настроены с их соответствующими ключами для VRF управления. Этот ключ должен совпадать с ключом, указанным в конфигурационном файле сервера TACACS. |
(config)#tacacs-server login key testing101 | Указать глобальный ключ для серверов TACACS, которые не настроены с их соответствующими ключами для VRF по умолчанию. Этот ключ должен совпадать с ключом, указанным в конфигурационном файле сервера TACACS. |
(config)#tacacs-server login host 10.16.19.2 vrf management key testing123 | Указать IPv4-адрес сервера TACACS, который будет настроен с общим ключом. Тот же ключ должен быть указан в конфигурационном файле сервера. |
(config)#tacacs-server login host 10.16.19.2 key testing123 | Указать IPv4-адрес сервера TACACS, который будет настроен с локальным общим ключом для VRF по умолчанию. Тот же ключ должен быть указан в конфигурационном файле сервера. |
(config)#tacacs-server host 10.12.30.86 vrf management seq-num 2 port 1045 | Указать IPv4-адрес сервера TACACS, который будет настроен с номером последовательности и номером порта. Сервер TACACS должен быть запущен с тем же номером порта. |
(config)#tacacs-server login host 10.12.30.86 seq-num 2 port 1045 | Указать IPv4-адрес сервера TACACS, который будет настроен с номером последовательности и номером порта для VRF по умолчанию. Сервер TACACS должен быть запущен с тем же номером порта. |
(config)#tacacs-server login host 10.12.17.11 vrf management seq-num 8 key 7 65535 port 65535 | Указать IPv4-адрес сервера TACACS, который будет настроен с номером последовательности, ключом и номером порта для VRF управления. Сервер TACACS должен быть запущен с тем же номером порта. |
(config)#tacacs-server login host 10.12.17.11 seq-num 8 key 7 65535 port 65535 | Указать IPv4-адрес сервера TACACS, который будет настроен с номером последовательности, ключом и номером порта для VRF по умолчанию. Сервер TACACS должен быть запущен с тем же номером порта. |
(config)#tacacs-server login host Tacacs- Server-1 vrf management seq-num 7 key 7 65535 port 65535 | Указать сервер TACACS, настроенный с именем хоста, номером последовательности, ключом и номером порта для VRF управления. Сервер TACACS должен быть запущен с тем же номером порта. |
(config)#tacacs-server login host Tacacs- Server-1 seq-num 7 key 7 65535 port 65535 | Указать сервер TACACS, настроенный с именем хоста, номером последовательности, ключом и номером порта для VRF по умолчанию. Сервер TACACS должен быть запущен с тем же номером порта. |
(config)#aaa authentication login default vrf management group tacacs\+ | Включить аутентификацию для сервера TACACS+, настроенного для VRF управления. Авторизация также включена по умолчанию. |
(config)#aaa authentication login default group tacacs\+ | Включить аутентификацию для сервера TACACS+, настроенного для VRF по умолчанию. Авторизация также включена по умолчанию. |
(config)#aaa authentication login default vrf management group tacacs\+ local | Включить аут�ентификацию для TACACS+ с резервным переходом на локальную аутентификацию для VRF управления. Авторизация также включена по умолчанию. |
(config)#aaa authentication login default vrf management group tacacs\+ local none | Включить аутентификацию для TACACS+ с резервным переходом на локальную аутентификацию, а затем на отсутствие аутентификации для VRF управления. Авторизация также включена по умолчанию. |
(config)#aaa authentication login default vrf management group tacacs\+ none | Включить аутентификацию для TACACS+ с резервным переходом на отсутствие аутентификации для VRF управления. Авторизация также включена по умолчанию. |
(config)#aaa authentication login default group tacacs\+ none | Включить аутентификацию для TACACS+ с резервным переходом на отсутствие аутентификации для VRF по умолчанию. Авторизация также включена по умолчанию. |
(config)#aaa group server tacacs\+ G1 vrf management | Создать группу AAA G1 для VRF управления. |
(config)#aaa group server tacacs\+ G1 | Создать группу AAA G1 для VRF по умолчанию. |
(config-tacacs)#server 10.12.30.86 | Сделать сервер TACACS 10.12.30.86 частью группы G1 для VRF по умолчанию. |
(config-tacacs)#server Tacacs-Server-1 | Сделать сервер TACACS Tacacs-Server-1 частью группы G1 для VRF управления. |
(config)#exit | Выйти из конфигурации TACACS. |
(config)#aaa authentication login default vrf management group G1 | Аутентифицировать группу TACACS+ G1 с помощью AAA аутентификации для VRF управления. |
(config)#aaa authentication login default group G1 | Аутентифицировать группу TACACS+ G1 с помощью AAA аутентификации для VRF по умолчанию. |
Пользователи сопоставляются, как показано в Таблице 12-1:
Таблица 12-1: Сопоставление ролей/уровней привилегий
| Роль | Уровень привилегий |
|---|---|
| Сетевой администратор | 15 |
| Сетевой инженер | 14 |
| Сетевой оператор | 1 до 13 |
| Сетевой пользователь | 0 или любые другие значения (>15, отрицательные значения или любые символы) |
Проверка
#show tacacs-server vrf management VRF: management total number of servers:2
Tacacs+ Server : Tacacs-Server-1/65535(*)
Sequence Number : 7
Failed Auth Attempts : 0
Success Auth Attempts : 1
Failed Connect Attempts : 0
Last Successful authentication: 2018 October 30, 10:10:22
Tacacs+ Server : 10.12.17.11/65535
Sequence Number : 8
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0
Last Successful authentication:
(*) indicates last active.
#
#show tacacs-server vrf all
VRF: management total number of servers:2
Tacacs+ Server : Tacacs-Server-1/65535(*)
Sequence Number : 7
Failed Auth Attempts : 0
Success Auth Attempts : 1
Failed Connect Attempts : 0
Last Successful authentication: 2018 October 30, 10:10:22
Tacacs+ Server : 10.12.17.11/65535
Sequence Number : 8
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0
Last Successful authentication:
VRF: default total number of servers:2
Tacacs+ Server : Tacacs-Server-1/2222
Sequence Number : 7
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0
Last Successful authentication:
Tacacs+ Server : 100.0.0.1/2222
Sequence Number : 8
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0
Last Successful authentication:
(*) indicates last active.
#
#
#show tacacs-server
VRF: default total number of servers:2
Tacacs+ Server : Tacacs-Server-1/2222
Sequence Number : 7
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0 Last Successful authentication:
Tacacs+ Server : 100.0.0.1/2222
Sequence Number : 8
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0
Last Successful authentication:
(*) indicates last active.
#show tacacs-server vrf management groups G1
VRF: management
group G1:
server Tacacs-Server-1:
seq-num 7
port is 65535
key is
server 10.12.17.11:
seq-num 8
port is 65535
key is
#show tacacs-server vrf all groups G1
VRF: management
group G1:
server Tacacs-Server-1:
seq-num 7
port is 65535
key is
server 10.12.17.11:
seq-num 8
port is 65535
key is
VRF: default
group G1:
server Tacacs-Server-1:
seq-num 7
port is 2222
key is
server 100.0.0.1:
seq-num 8
port is 2222
key is
#
#show tacacs-server groups G1
VRF: default group G1:
server Tacacs-Server-1:
seq-num 7
port is 2222
key is
server 100.0.0.1:
seq-num 8
port is 2222
key is
#show tacacs vrf management
VRF: management
total number of servers:2
Tacacs+ Server : Tacacs-Server-1/65535(*)
Sequence Number : 7
Failed Auth Attempts : 0
Success Auth Attempts : 1
Failed Connect Attempts : 0
Last Successful authentication: 2018 October 30, 10:10:22
Tacacs+ Server : 10.12.17.11/65535
Sequence Number : 8
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0
Last Successful authentication:
(*) indicates last active.
#show tacacs vrf all
VRF: management
total number of servers:2
Tacacs+ Server : Tacacs-Server-1/65535(*)
Sequence Number : 7
Failed Auth Attempts : 0
Success Auth Attempts : 1
Failed Connect Attempts : 0
Last Successful authentication: 2018 October 30, 10:10:22
Tacacs+ Server : 10.12.17.11/65535
Sequence Number : 8
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0
Last Successful authentication:
VRF: default
total number of servers:2
Tacacs+ Server : Tacacs-Server-1/2222(*)
Sequence Number : 7
Failed Auth Attempts : 0
Success Auth Attempts : 1
Failed Connect Attempts : 0
Last Successful authentication: 2018 October 30, 10:32:52
Tacacs+ Server : 100.0.0.1/2222
Sequence Number : 8
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0
Last Successful authentication:
(*) indicates last active.
#
#show tacacs
VRF: default
total number of servers:2
Tacacs+ Server : Tacacs-Server-1/2222(*)
Sequence Number : 7
Failed Auth Attempts : 0
Success Auth Attempts : 1
Failed Connect Attempts : 0
Last Successful authentication: 2018 October 30, 10:32:52
Tacacs+ Server : 100.0.0.1/2222
Sequence Number : 8
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0
Last Successful authentication:
(*) indicates last active.
#show tacacs vrf management
VRF: management
total number of servers:2
Tacacs+ Server : Tacacs-Server-1/65535(*)
Sequence Number : 7
Failed Auth Attempts : 0
Success Auth Attempts : 1
Failed Connect Attempts : 0
Last Successful authentication: 2018 October 30, 10:10:22
Tacacs+ Server : 10.12.17.11/65535
Sequence Number : 8
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0
Last Successful authentication:
(*) indicates last active.
#show tacacs vrf all
VRF: management
total number of servers:2
Tacacs+ Server : Tacacs-Server-1/65535(*)
Sequence Number : 7
Failed Auth Attempts : 0
Success Auth Attempts : 1
Failed Connect Attempts : 0
Last Successful authentication: 2018 October 30, 10:10:22
Tacacs+ Server : 10.12.17.11/65535
Sequence Number : 8
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0
Last Successful authentication:
VRF: default total number of servers:2
Tacacs+ Server : Tacacs-Server-1/2222(*)
Sequence Number : 7
Failed Auth Attempts : 0
Success Auth Attempts : 1
Failed Connect Attempts : 0
Last Successful authentication: 2018 October 30, 10:32:52
Tacacs+ Server : 100.0.0.1/2222
Sequence Number : 8
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0
Last Successful authentication:
(*) indicates last active.
#
#show tacacs
VRF: default
total number of servers:2
Tacacs+ Server : Tacacs-Server-1/2222(*)
Sequence Number : 7
Failed Auth Attempts : 0
Success Auth Attempts : 1
Failed Connect Attempts : 0
Last Successful authentication: 2018 October 30, 10:32:52
Tacacs+ Server : 100.0.0.1/2222
Sequence Number : 8
Failed Auth Attempts : 0
Success Auth Attempts : 0
Failed Connect Attempts : 0
Last Successful authentication:
(*) indicates last active.
#show aaa authentication vrf management
VRF: management
default: group G1
console: local
#show aaa authentication vrf all
VRF: management
default: group G1
console: local
VRF: default
default: group tacacs+
console: local
#show aaa authentication
VRF: default
default: group tacacs+
console: local
#
# show aaa groups vrf management
VRF: management
radius
tacacs+
G1
#
# show aaa groups vrf all
VRF: management radius tacacs+ G1
VRF: default radius tacacs+ G1
#show aaa groups
VRF: default radius tacacs+ G1
#show running-config tacacs+
feature tacacs+ vrf management
tacacs-server login host Tacacs-Server-1 vrf management seq-num 7 key 7 65535 po rt 65535
tacacs-server login host 10.12.17.11 vrf management seq-num 8 key 7 65535 port 6 5535
feature tacacs+
tacacs-server login host Tacacs-Server-1 seq-num 7 key 7 65535 port 2222
tacacs-server login host 100.0.0.1 seq-num 8 key 7 65535 port 2222
#show running-config aaa
aaa authentication login default vrf management group G1
aaa group server tacacs+ G1 vrf management
server Tacacs-Server-1 vrf management
server 10.12.17.11 vrf management
aaa authentication login default group tacacs+
aaa group server tacacs+ G1
server Tacacs-Server-1
server 100.0.0.1
#show running-config aaa all
aaa authentication login default vrf management group G1
aaa authentication login console local
aaa accounting default vrf management local
no aaa authentication login default fallback error local vrf management
no aaa authentication login console fallback error local
no aaa authentication login error-enable vrf management
aaa local authentication attempts max-fail 3
aaa local authentication unlock-timeout 1200
aaa group server tacacs+ G1 vrf management
server Tacacs-Server-1 vrf management
server 10.12.17.11 vrf management
aaa authentication login default group tacacs+
aaa authentication login console local
aaa accounting default local
no aaa authentication login default fallback error local
no aaa authentication login console fallback error local
no aaa authentication login error-enable
aaa local authentication attempts max-fail 3
aaa local authentication unlock-timeout 1200
aaa group server tacacs+ G1
server Tacacs-Server-1
server 100.0.0.1
Учет сервера TACACS
После аутентификации пользователь может настроить учет для измерения ресурсов, которые он использует во время доступа.
Аутентификация устройства
#configure terminal | Перейти в режим конфигурации. |
(config)#feature tacacs\+ vrf management | Включить функцию TACACS+ для VRF управления. |
(config)#feature tacacs\+ | Включить функцию TACACS+ для VRF по умолчанию. |
(config)#tacacs-server host 10.16.19.2 vrf management key testing123 | Указать IPv4-адрес сервера TACACS, который будет настроен с общим ключом для VRF управления. Тот же ключ должен быть указан в конфигурационном файле сервера. |
(config)#tacacs-server login host 10.16.19.2 key testing123 | Указать IPv4-адрес сервера TACACS, который будет настроен с общим ключом для VRF по умолчанию. Тот же ключ должен быть указан в конфигурационном файле сервера. |
(config)#aaa accounting default vrf management group tacacs\+ | Включить учет для сервера TACACS, настроенного для VRF управления. |
(config)#aaa accounting default group tacacs\+ | Включить учет для сервера TACACS, настроенного для VRF по умолчанию. |
#clear tacacs-server counters vrf management | Очистить счетчики сервера TACACS для VRF управления. |
#clear tacacs-server counters vrf all | Очистить счетчики сервера TACACS для VRF управления и VRF по умолчанию. |
#clear tacacs-server counters | Очистить счетчики сервера TACACS для VRF по умолчанию. |
Для проверки процесса учета TACACS подключитесь с помощью SSH или Telnet с хоста к клиенту, используя созданного пользователя и предоставленный пароль сервера TACACS, и проверьте, валидирует ли клиент пользователя с соответствующим именем пользователя и паролем.
Команды проверки
show tacacs-server, show aaa accounting, show aaa accounting
#show aaa accounting vrf management
VRF: management
default: group tacacs+
#
#show aaa accounting vrf all
VRF: management
default: group tacacs+
VRF: default
default: group tacacs+
#show aaa accounting
VRF: default
default: group tacacs+
#
#show running-config aaa
aaa authentication login default vrf management group G1
aaa accounting default vrf management group tacacs+
aaa group server tacacs+ G1 vrf management
server Tacacs-Server-1 vrf management
server 10.12.17.11 vrf management
aaa authentication login default group tacacs+
aaa accounting default group tacacs+
aaa group server tacacs+ G1
server Tacacs-Server-1
server 100.0.0.1
Пример содержимого конфигурационного файла TACACS
#tacacs configuration file
#set the key
key = "testing123"
accounting file = /var/log/tac_acc.log
user = test1 {
default service = permit
login = cleartext "12345"
}
group = netadmin {
service = ppp protocol = ip {
priv-lvl = 1
}
}
user = test2 {
default service = permit
login = cleartext "12345"
member = netadmin
}
user = test3 {
default service = permit
login = cleartext "12345"
service = ppp protocol = ip {
priv-lvl = 15
}
}
Авторизация сервера TACACS
Авторизация осуществляется путем сопоставления аутентифицированных пользователей с одной из существующих предопределенных ролей, как показано в Таблице 12-1.
Информация о привилегиях извлекается с сервера TACACS+ для аутентифицированных пользователей и сопоставляется с одной из ролей, указанных в Таблице 12-1.
Каждый аутентифицированный пользователь сопоставляется с одним из предопределенных уровней привилегий.
Пользователи с уровнем привилегий <=0 и >15 рассматриваются как пользователи только для чтения и сопоставляются с предопределенной ролью "сетевой пользователь".
Команда для включения авторизации отсутствует. Функциональность авторизации включена по умолчанию, когда удаленная аутентификация включена с помощью TACACS+.
Авторизация "включена автоматически". После успешной аутентификации пользователь может перейти в привилегированный режим exec, независимо от уровня привилегий, и такой пользователь не запрашивает пароль режима enable, если он настроен. Однако, в зависимости от их роли, команды отклоняются, если выполнение определенных операций не разрешено.
Примеры
Сетевой пользователь имеет доступ только для чтения и может выполнять только команды show. Сетевой пользователь не может перейти в режим конфигурации. При выполнении любой команды, которая не разрешена, отображается сообщение об ошибке.
#write
% Access restricted for user % #configure terminal
% Access restricted for user %
Следующая пара атрибут-значение на сервере TACACS+ используется для получения информации о привилегиях пользователя.
service = ppp protocol = ip {
priv-lvl = <0…15>
}
Пример конфигурационного файла TACACS+
#tacacs configuration file from “tac_plus version F4.0.3.alpha “
#set the key
key = "testing123" accounting file = /var/log/tac_acc.log
#Read only user “test1”, without any priv-lvl, mapped to role “network-user”
user = test1 {
default service = permit
login = cleartext "12345"
}
#We can create a group of users mapped to a privilege
group = netadmin {
service = ppp
protocol = ip {
priv-lvl = 15
}
}
#User “test2” with highest priv-lvl=15, mapped to role “network-admin”
user = test2 {
default service = permit
login = cleartext "12345"
member = netadmin
}
#User “test3” with priv-lvl= 1…13, mapped to role “network-operator`=
user = test3 {
default service = permit
login = cleartext "12345"
service = ppp
protocol = ip {
priv-lvl = 10
}
}
#User “test4” with priv-lvl=14, mapped to role “network-engineer”
user = test4 {
default service = permit
login = cleartext "12345"
service = ppp
protocol = ip {
priv-lvl = 14
}
}