Instalación y Configuración de TACACS

Introducción

Un servidor TACACS provee una ubicación centralizada AAA (Authentication, Authorization y Accounting) para dispositivos Cisco. La Autentificación de los usuarios se puede realizar de 2 maneras: Con la base de datos local del dispositivo o con el servidor TACACS. El modelo TACACS provee funcionalidades adicionales tales como la autorizacion de comandos específicos según el usuario, además de un registro histórico detallado de los accesos a los dispositivos y los comandos ejecutados.

En tacacs hay que tener en cuenta aspectos como: Ficheros de configuración, validación de usuarios, interfaces. Se podría aplicar la metodología top-down de Cisco. En el siguiente flujograma se analiza el funcionamiento de Tacacs.

A continuación describo el proceso de instalación y configuración de un servidor TACACS+ (tac-plus) en Linux Debian y tambien algunos de los comandos que se deben configurar en los dispositivos Cisco a través de su IOS.

Configuración del SERVIDOR instalación de TACACS

Antes de todo debemos agregar los repositorios para poder instalarlo. Para ello editamos nuestro fichero /etc/apt/sources.list y agregamos las siguientes líneas

deb http://ftp.hu.debian.org/debian/ squeeze main non-free contrib
deb-src http://ftp.hu.debian.org/debian/ squeeze main non-free contrib

Actualizar las fuentes con el comando #apt-get update

#apt-get install tacacs+

Para parar el servidor tacacs

/etc/init.d/tacacs_plus stop

Para iniciar el servidor tacacs

/etc/init.d/tacacs_plus restart

Archivos del servicio

/var/log/tacacs+/account.log (debe ser escribible, no ReadOnly)
 /var/tmp/tac_plus.log (log del servicio)
 /etc/init.d/tacacs_plus (script de inicio)
 /etc/tacacs+/tac_plus.conf (usuarios y configuracion global)
 /usr/sbin/tac_plus (ejecutable)

Para crear contraseñas cifradas en des:

htpasswd -n username

(Debes tener instalado Apache2 para que te reconozca la intrucción)

Archivo de configuracion del servicio TACACS

/etc/tacacs+/tac_plus.conf

Este usuario tiene todos los permisos

user = admins {
 default service = permit
 login = des 70e4lCVGyWSKM
 }

Este usuario solo puede ejecutar los comandos ‘show ip’ y ‘show interface’

user = users {
 default service = deny
 login = cleartext test
 cmd = show
 {
 permit ip
 permit interface
 deny .*
 }
 } 

Configuracion de un Router

Cada comando AAA en el router describe el proceso de autentificacion y autorizacion y el orden en que se intenta ejecutar los diferentes metodos configurados.

aaa new-model

Orden de Autenticacion

aaa authentication login default tacacs+ enable
 aaa authentication enable default tacacs+ enable

Para conexiones ISDN

aaa authentication ppp RAS local

Debe tener las siguientes 2 lineas para indicar explicitamente los comandos de autorizacion. Los comandos correspondientes al User level del usuario se permitiran aun si el servidor TACACS no se encontrase disponible pero el usuario de igual manera se encuntra autentificado

aaa authorization exec tacacs+ if-authenticated
 aaa authorization commands 1 tacacs+ if-authenticated

Si el servidor TACACS no se encuentra disponible, los comandos Enable solo se podran ejecutar desde una consola (configure terminal, copy cmd etc)

aaa authorization commands 15 tacacs+ if-authenticated
 aaa authorization network tacacs+

Contraseña enable cuando el servidor TACACS no se encuentra disponible

aaa accounting exec start-stop tacacs+
 aaa accounting commands 1 start-stop tacacs+
 aaa accounting commands 15 start-stop tacacs+
 aaa accounting network start-stop tacacs+
 aaa accounting system start-stop tacacs+
 enable password tester

El siguiente comando permite ejecutar culaquier comando si el servidor TACACS no se encuantra disponible

aaa authorization exec tacacs+ none

Si el servidor TACACS no se encuentra disponible, el prompt que se mostrara sera el login estandard de Cisco, con la diferencia de que en vez de emplear una contraseña para el VTY y una para el enable, se empleara la misma contraseña de enable tanto para el login como para el enable del router. Ejemplo:

Building configuration…
 !
 Current configuration:
 !
 version 11.1
 service config
 no service udp-small-servers
 no service tcp-small-servers
 hostname tacacstest
 !
 aaa new-model
 aaa authentication login default tacacs+ enable
 aaa authentication enable default tacacs+ enable
 aaa authentication ppp RAS local
 aaa authorization exec tacacs+ if-authenticated
 aaa authorization commands 1 tacacs+ if-authenticated
 aaa authorization commands 15 tacacs+ if-authenticated
 aaa authorization network tacacs+
 aaa accounting exec start-stop tacacs+
 aaa accounting commands 1 start-stop tacacs+
 aaa accounting commands 15 start-stop tacacs+
 aaa accounting network start-stop tacacs+
 aaa accounting system start-stop tacacs+
 enable secret 5 $1$y1cB$sSAl.2azaTPo9GoPO3fp0.
 !
 interface Ethernet0
 ip address 192.168.1.2 255.255.255.0
 no cdp enable
 !
 interface Serial0
 no ip address
 shutdown
 no fair-queue
 !
 interface Serial1
 no ip address
 shutdown
 no cdp enable
 !
 interface BRI0
 no ip address
 shutdown
 !
 line con 0
 exec-timeout 0 0
 password whatever
 login authentication conmethod
 line aux 0
 line vty 0 4
 exec-timeout 0 0
 !
 end

Posted in: Cisco, Linux