Основы компьютерных сетей #19 — Как настроить AAA TACACS в Cisco IOS

от

Когда вы управляете огромным количеством сетевых устройств, вопросы авторизации на них хочется автоматизировать. В этом вопросе нам поможет AAA.

AAA: 

  • Authentication — аутентификация
  • Authorization — авторизация
  • Accounting — учет

Среди наиболее распространенных выделяют:

  • Radius
  • Kerberos
  • TACACS

TACACS — проприетарный протокол от компании Cisco. 

Mark — 10.0.137.43/24

Anna — 10.0.137.131/24

Server AAA — 10.0.137.113/24

Для начала настроим TACACS сервер. Я использую Ubuntu Server 16, можно воспользоваться 18. Начиная с версии 20 tacacs вроде как удалили. Нам сейчас важно просто рассмотреть как это работает.

sudo apt-get install tacacs+

sudo nano /etc/tacacs+/tac_plus.conf

key = cisco123

default authentication = file /etc/passwd
 
group = support {
    default service = deny
    service = exec {
    priv-lvl = 1
    }
}

group = admins {
    default service = permit
    service = exec {
    priv-lvl = 15
    }
}

user = mark {
    name = "Network Support"
    member = support
}

user = anna {
    name = "Network Admins"
    member = admins
}

sudo /etc/init.d/tacacs_plus restart

sudo adduser mark

sudo adduser anna

Теперь настроим коммутатор Cisco

S1

conf t
aaa new-model
username cisco password cisco123
enable password admin
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
tacacs-server host 10.0.137.113
tacacs-server key 0 cisco123
int vlan1
no shutdown
ip address 10.0.137.110 255.255.255.0
line vty 0 4
login authentication default 
exit
exit
wr mem

Теперь проверим

Заходим с компьютера Mark

telnet 10.0.137.110

Вводим логин и пароль и попадаем на коммутатором с 1 уровнем привилегий 

Далее заходим с компьютера Anna и видим, что наш уровень привилегий сразу становится 15

Теперь выключим наш сервер и попробуем зайти еще раз. Как видите, залогиниться под mark или anna у нас не получается, но мы можем зайти используя локального пользователя cisco cisco123.

Использование AAA позволяет нам централизованно авторизовываться на сетевом оборудовании, что в свою очередь, можно отнести к автоматизации, не говоря уже о других аспектах данной технологии.

В идеале, нужно было добавить еще и ssh, но основная задача была просто показать как работает AAA и TACACS.