Instalando servidor TACACS para centralizar usuários e senhas de ativos Cisco

Olá, esse é meu primeiro tutorial no VOL, espero que gostem. Esse tutorial surgiu da necessidade de centralizar autenticação de usuários em ativos Cisco (testado em roteadores 2811 e switches 3750). O TACACS resolveu meu problema de forma simples. Críticas e sugestões serão bem vindas.

[ Hits: 54.294 ]

Por: Luriel Santana em 18/08/2008


O que seria esse TACACS?



Terminal Access Controller Access-Control System (TACACS) é um protocolo de autenticação remota usado para comunicação com servidores de autenticação. TACACS permite que um servidor de acesso remoto se comunique com um servidor de autenticação para verificar se o usuário tem acesso à rede.

Fonte: http://pt.wikipedia.org/wiki/Tacacs

Esse serviço facilitará a manipulação de usuários e senhas, onde não mais será necessário entrar em todos os ativos caso acha necessidade de alteração de senha ou remoção de permissão de um usuário.

Ambiente utilizado

Foi utilizado uma máquina com configurações básicas, rodando o DEBIAN ETCH com kernel 2.6.18-6-686.

Configurado o arquivo /etc/apt/sources.list para utilizar os seguintes repositórios:

deb http://ftp.debian.org/debian etch main non-free contrib
deb http://security.debian.org/ etch/updates main contrib

Instalando o TACACS

1) Atualizando a lista de pacotes dos repositórios:

# apt-get update

2) Instalado o servidor TACACS:

# apt-get install tac-plus

3) Fazendo backup do arquivo original do tacacs (isso facilitará caso precise pegar alguma configuração do arquivo original):

# mv /etc/tac-plus/tacacs.conf /etc/tac-plus/tacacs.conf.orig

4) Entre para edição do novo arquivo de configuração:

# vim /etc/tac-plus/tacacs.conf

5) Adicione o conteúdo abaixo (preste atenção, pois é necessário alterar algumas informações no arquivo):

key = "coloque uma chave aqui"

# Criando grupo de administração com privilege 15
group = 'coloque o nome do grupo, EX: casadopinguim-admin' {
default service = permit
service = exec {
priv-lvl = 15
idletime = 10
}
}

# Criando grupo de usuários com privilege 7
group = 'coloque o nome do grupo, EX: casadopinguim-user' {
default service = deny
service = exec {
priv-lvl = 7
idletime = 5
timeout = 30
}
}

# Criando um usuário adminstrador
user = 'coloque o nome do usuário' {
member = 'coloque o nome do grupo de admin, nesse caso casadopinguim-admin'
login = des 'cole aqui a hash (senha encriptada) criada para administrador'
}

# Criando um usuário normal
user = 'coloque o nome do usuário' {
member = 'coloque o nome do grupo de usuários, nessa caso casadopinguim-user'
login = des 'cole aqui a hash (senha encriptada) criada para usuário'
}

6) Gerando senha encriptada para os usuários:

Ao rodar o comando abaixo, o mesmo solicitará que você digite uma senha, ao digitar e pressionar o enter o programa emitirá como saída a senha encriptada, faça isso para todos os usuários que forem criados para o servidor TACACS, lembrando sempre de copiar e colar no espaço destinado a hash (senha encriptada) para seus respectivos usuários:

# generate_passwd

Exemplo de criação de senha encriptada usando a palavra "teste":

# generate_passwd Password to be encrypted: teste =====> Senha usada
3CBlLJu1E5qUQ =====> Senha encriptada que será usada no arquivo tacacs.conf

Exemplo de um arquivo configurado:

key = "senha!@#"

# Criando grupo de administração com privilege 15
group = 'casadopinguim-admin' {
default service = permit
service = exec {
priv-lvl = 15
idletime = 10
}
}

# Criando grupo de usuários com privilege 7
group = 'casadopinguim-user' {
default service = deny
service = exec {
priv-lvl = 7
idletime = 5
timeout = 30
}
}

# Criando um usuário adminstrador
user = 'luriel' {
member = 'casadopinguim-admin'
login = des 'GaxrPzleHMOwY'
}

# Criando um usuário normal
user = 'santana' {
member = 'casadopinguim-user'
login = des 'FetrPxliHKErw'
}

Configurando ativo Cisco para usar servidor TACACS para autenticação

1) Entre no router com permissão de administrador (acesso enable) e digite os seguintes comandos (você pode apenas copiar e colar no terminal :-P):

configure terminal
aaa new-model
aaa authentication login default group tacacs+ local enable
aaa authorization exec default group tacacs+ local none
aaa authorization commands 0 default group tacacs+ local none
aaa authorization commands 1 default group tacacs+ local none
aaa authorization commands 15 default group tacacs+ local none
aaa authorization configuration default group tacacs+
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+


2) Adicione também as opções do seu server TACACS, lembrando de alterar o IP do servidor e a chave (aqui você também pode copiar e colar após ter realizado as alterações de IP e chave):

tacacs-server host 'IP do Server TACACS'
tacacs-server directed-request
tacacs-server key 7 'coloque aqui chave adicionada no inicio do arquivo tacacs.conf EX: senha!@#'
radius-server source-ports 1645-1646


Pronto, agora bastar testar o login com seus usuários configurados no TACACS. :-)

   

Páginas do artigo
   1. O que seria esse TACACS?
Outros artigos deste autor

Instalando o Cacti via APT no Debian Etch

Instalando o Nagios-mysql no Debian Etch

SNMP em Linux e Windows para monitoramento no Cacti

Principais Comandos Básicos do Docker-CE

Leitura recomendada

LogBook: Documentação de implementação e manutenção

BC: A sua calculadora programável no Linux

Montando uma rede GSM

Programas em Modo Texto (on Shell)

Servidor NIS+NFS: Aprenda a montar o seu

  
Comentários
[1] Comentário enviado por y2h4ck em 19/08/2008 - 12:04h

La venho eu novamente :D
Fala pessoal, so passei pra deixar um comentario que pra varias 'e referente a seguranca das implantacoes de nossos colegas aqui no VOL.

O Tacacs assim como o Ldap e usado pra centralizar autenticacao so que o tacacs e para dispositivos de rede. Porem ele sobre da mesma vulnerabilidade do ldap: Nao possui criptografia, sendo assim se alguem capturar os pacotes da rede vai pegar as credenciais trafegando sem protecao. Porem nem tudo esta perdido. O Tacacs possui o Tacacs+ que nada mais e que o mesmo que o ldap-ssl que e a versao criptografada usando um certificado.

Recomendo a todos que forem implantar tacacs nas redes que pesquisem a implantacao do Tacacs+.

[]s

y2h4ck

[2] Comentário enviado por luriel.santana em 19/08/2008 - 14:13h

Caro y2h4ck,

Primeiramento obrigado pela contribuição.

O tutorial já segue as especificações do tacacs+, se você verificar as configurações adicionadas no Router já está comteplado como tacacs+ , tornando seguro a implementação do servidor.

Abraços,

Luriel Santana

[3] Comentário enviado por grandmaster em 25/08/2008 - 20:58h

Boa contribuição

Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[4] Comentário enviado por ecatarina em 23/03/2009 - 15:51h

Boa Tarde.


Por favor, gostaria de saber se alguém poderia me ajudar na criação do servidor tacacs+ e fazer uma outra máquina cliente rodando linux autenticar no servidor tacacs+

[5] Comentário enviado por luriel.santana em 18/04/2009 - 22:36h

Emerson,

Qualquer coisa me adiciona no msn para tentar te ajudar

msn: luriel@lognet.com.br

Abraços,

[6] Comentário enviado por ftgregorio em 04/05/2010 - 13:02h

Boa tarde caros do VOL, tenho um ambiente semelhante ao descrito acima, rodando tudo perfeitamente. O problema é que eu gostaria de que a autenticação não fosse mais pelo servidor de Tacac's e sim no AD do Windows. É possivel??? Se sim, por favor, por onde começo!

Valew.

[7] Comentário enviado por luriel.santana em 15/07/2010 - 18:37h

Caro amigo,

Para autenticar com server windows favor pesquisar sobre servidor Radius.

Att,

Luriel Santana

[8] Comentário enviado por brenopedroso em 11/03/2011 - 16:45h

Olá a todos,

alguém de vcs ja implemento as conf para fazer autenticação de um switch 3com 4200 num server tacacs ?? Fiz as configurações no 3com, o mesmo autentica mas não loga os comandos executados no arquivo de log do meu servidor tacacs . Alguém pode me ajudar ? segue abaixo minhas configurações de meu sw3com 4200
Desde já agradeço a atenção.

hwtacacs scheme see
primary authentication 10.206.100.12
primary authorization 10.206.100.12
primary accounting 10.206.100.12
nas-ip 10.206.102.17
key authentication see
key authorization see
key accounting see
user-name-format without-domain
#
domain see
scheme hwtacacs-scheme see
authentication hwtacacs-scheme see
authorization hwtacacs-scheme see
accounting hwtacacs-scheme see


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts