Instalación y configuración de TACACS + con el enrutador Cisco en Debian 8 Jessie

Instalación y configuración de TACACS + con el enrutador Cisco en Debian 8 Jessie

La tecnología actual depende en gran medida del equipo de red y la configuración adecuada de ese equipo de red. Los administradores tienen la tarea de garantizar que los cambios de configuración no solo se prueben minuciosamente antes de la implementación, sino también que los cambios de configuración los realicen personas autorizadas para realizar cambios, así como asegurarse de que los cambios se registren.

 Instalar Tacacs + en Debian usando Cisco Router  Instalar Tacacs + en Debian usando Cisco Router Instale Tacacs + en Debian usando el enrutador Cisco

Este principio de seguridad se conoce como AAA. (Triple-A) o Autenticación. Autorización. y Contabilidad. Hay dos sistemas muy destacados que ofrecen la funcionalidad AAA para que los administradores aseguren el acceso a los dispositivos y las redes a las que sirven esos dispositivos.

RADIUS. (Servicio de usuario de acceso telefónico de acceso remoto) y TACACS +. (Terminal Access Controller Access-Control System Plus).

Radius. se utiliza tradicionalmente para autenticar a los usuarios para acceder a la red, lo que contrasta con TACACS. en que TACACS se utiliza tradicionalmente para la administración de dispositivos. Una de las grandes diferencias entre estos dos protocolos es la capacidad de TACACS de separar las funciones AAA en funciones independientes.

El beneficio de la separación TACACS de las funciones AAA es que se puede controlar la capacidad del usuario para ejecutar ciertos comandos. Esto es muy ventajoso para las organizaciones que desean proporcionar al personal de redes u otros administradores de TI diferentes privilegios de comando a un nivel muy granular.

freestar.config.enabled_slots.push

Este artículo explica cómo configurar un sistema Debian. para que actúe como un sistema TACACS +.

Configuración del entorno

  1. Debian 8. instalado y configurado con conectividad de red. Lea este artículo sobre cómo instalar Debian 8
  2. El conmutador de red Cisco 2940 (la mayoría de los demás dispositivos Cisco también funcionarán, pero los comandos del conmutador/enrutador pueden variar).

Instalación del software TACACS + en Debian 8

El primer paso para configurar este nuevo servidor TACACS. será adquirir el software de los repositorios. Esto se logra fácilmente con el uso del comando ‘apt’.

# apt-get install tacacs +

El comando anterior instalará e iniciará el servicio del servidor en el puerto 49. Esto se puede confirmar con varias utilidades.

# lsof-i: 49 # netstat-ltp | grep tac

Estos dos comandos deben devolver una línea que indique que TACACS. está escuchando en el puerto 49. en este sistema.

 Verify TACACS Service  Verify TACACS Service Verify TACACS Service

En este punto, TACACS. está escuchando para las conexiones en esta máquina. Ahora es el momento de configurar el servicio TACACS. y los usuarios.

Configuración de usuarios y servicios TACACS

Por lo general, es una buena idea vincular servicios a direcciones IP específicas si el servidor tiene varias direcciones. Para realizar esta tarea, las opciones predeterminadas del demonio se pueden modificar para especificar una dirección IP.

# nano/etc/default/tacacs +

Este archivo especifica todas las configuraciones del demonio que debe iniciar el sistema TACACS. La instalación predeterminada solo especificará el archivo de configuración. Añadiendo un argumento ‘-B’. a este archivo, se puede usar una dirección IP específica para que TACACS escuche.

tacacs + Archivo de configuración DAEMON_OPTS = “-C/etc/tacacs +/tac_plus. conf “- Línea original. DAEMON_OPTS =”-C/etc/tacacs+/tac_plus.conf -B XXXX. “-Nueva línea, donde XXXX. es la dirección IP para escuchar

Nota especial en Debian. por alguna razón, intentar reiniciar TACACS +. service para leer las nuevas opciones del demonio no tiene éxito (a través del service tacacs_plus restart. .

El problema aquí parece ser cuando TACACS. se inicia a través del script init. el PID. se establece estáticamente en “PIDFILE =/var/run/tac_plus.pid”. sin embargo, cuando se especifica “-B XXXX”. como una opción de demonio, el nombre del archivo pid se cambia a “/var/run/tac_plus.pid.XXXX”.

No estoy totalmente seguro de si esto es un error o no, pero para combatir la situación temporalmente, uno puede configurar manualmente el PIDFILE. en el init. script cambiando la línea a “PIDFILE =/var/run/tac_plus.pid.XXXX”. donde XXXX es la dirección IP que TACACS debe escuchar y luego iniciar el servicio con:

# service tacacs_plus start

Al reiniciar el servicio, el comando lsof se puede usar nuevamente para confirmar que el servicio TACACS está escuchando en la dirección IP correcta.

# lsof-i: 49  Verificar el servicio TACACS Verificar el servicio TACACS Verifique el servicio TACACS

Como se ve arriba, TACACS. está escuchando en una dirección IP en una dirección IP específica como se establece en el archivo de valores predeterminados de TACACS anterior. En este punto, es necesario crear usuarios y conjuntos de comandos específicos.

Esta información es administrada por otro archivo: “/etc/tacacs+/tac_plus.conf. . Abra este archivo con un editor de texto para realizar las modificaciones apropiadas.

# nano/etc/tacacs+/tac_plus.conf

Este archivo es donde deben residir todas las especificaciones TACACS. (permisos de usuario, listas de control de acceso, claves de host, etc.). Lo primero que debe crearse es una clave. para los dispositivos de red.

Hay mucha flexibilidad en este paso. Se puede configurar una sola clave para todos los dispositivos de red o se pueden configurar varias claves por dispositivo. La opción depende del usuario, pero esta guía utilizará una única clave por simplicidad.

tac_plus.conf: crea una clave de red key = “super_secret_TACACS + _key”  Crear clave Tacacs Crear clave de Tacacs Crear Clave Tacacs

Una vez que se ha configurado una clave, se deben crear grupos. que determinen los permisos que se asignarán a los usuarios más adelante. La creación de grupos facilita la delegación de permisos. A continuación se muestra un ejemplo de asignación de derechos de administrador completos.

tac_plus.conf-Cree un grupo de permisos group = admins servicio predeterminado = permit service = exec priv-lvl = 15  Crear grupo para Tacacs Crear grupo para Tacacs Crear grupo para Tacacs

  1. El nombre del grupo está determinado por la línea “ grupo = administradores. con admins es el nombre del grupo.
  2. La línea “ servicio predeterminado = permiso. indica que si un comando no se deniega explícitamente, entonces permítelo implícitamente.
  3. El “ service = exec priv-lvl = 15. ” permite el nivel de privilegio 15. en modo exec en un dispositivo Cisco (el nivel de privilegio 15 es el más alto en equipos Cisco).

Ahora se debe asignar un usuario al grupo de administradores.

tac_plus.conf-Crear un usuario user = rob member = admins login = des mjth124WPZapY  Crear usuario TACACS Crear usuario TACACS Crear usuario TACACS

  1. La estrofa “usuario = rob”. permite que un nombre de usuario de rob acceda algún recurso.
  2. El “miembro = administradores. le dice a TACACS + que se refiera al grupo anterior llamado administradores para obtener una lista de lo que este usuario está autorizado a hacer.
  3. La última línea, “login = des mjth124WPZapY”. es un des encriptado d contraseña para que este usuario se autentique (siéntase libre de usar un cracker para descubrir este ejemplo de contraseña súper “complejo”).

Importante. En general, es una buena práctica colocar contraseñas cifradas en este archivo en lugar de texto sin formato, ya que agrega una pequeña cantidad de seguridad en caso de que alguien deba leer este archivo y no necesariamente tenga acceso.

Una buena medida preventiva para esto es al menos eliminar también el acceso de lectura mundial en el archivo de configuración. Esto se puede lograr mediante el siguiente comando:

# chmod o-r/etc/tacacs+/tac_plus.conf # service tacacs_plus reload

En este punto, el lado del servidor está listo para conexiones desde dispositivos de red. Vayamos ahora al conmutador Cisco. y configurémoslo para que se comunique con este servidor Debian TACACS +.