Zentrale Anmeldung mit TACACS+ (AAA) / TACACS PLUS

TACACS+ (TACACS PLUS) ist eine Erweiterung des TACACS Protokolls. TACACS+ ist ein AAA (Authentisierung, Autorisierung und Accounting) Kommunikationsprotokoll. Bei der Anmeldung an einem Netzwerkgerät werden der Nutzername und das Passwort an einen zentralen Server geleitet. Dieser verfügt über eine lokale Benutzer Datenbank, oder bekommt diese Informationen zum Beispiel via LDAP vom Windows Active Directory (oder was es da sonst noch so gibt). Der Server gibt die verifizierten Daten an das Netzwerkgerät zurück und der Benutzer ist autorisiert, sich an diesem Gerät anzumelden (oder eben nicht). Zentrale Logfiles erleichtern die Überprüfung der Anmeldeversuche.
Die Einstellungen im TACACS Server steuern auch, welche Berechtigungen ein Nutzer auf den Netzwerkgeräten hat.

Der TACACS Server Cisco Secure ACS von Cisco ist einer der meistgenutzten kommerziellen Server.
Als Freeware gibt es diverse Portierungen in den meisten Linux Distribution.
Für Windows gibt es bei tacacs.net eine Freewareversion
Wer gerne selber bastelt, kann sich den Source Code von Shrubbery Networks, Inc. herunterladen.

Für die unterschiedlichen Switche habe ich hier ein paar Konfigurationsbeispiele:

Cisco Switche:

aaa new-model
aaa authentication login default group tacacs+ local enable
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa session-id common
tacacs-server host [IP DES TACACS SERVERS] key [TACACS+Schlüssel]
tacacs-server directed-request 

Foundry / Brocade Switche:

aaa authentication web-server default tacacs+ local none
aaa authentication enable default tacacs+ local none
aaa authentication enable implicit-user
aaa authentication login default tacacs+ local none
aaa authentication login privilege-mode
aaa authorization exec default tacacs+ none
aaa accounting exec default start-stop tacacs+ none
tacacs-server host [IP DES TACACS SERVERS]
tacacs-server key 1 [TACACS+Schlüssel] 

Dell Switche:

aaa authentication login default tacacs local
tacacs-server host [IP DES TACACS SERVERS] key [TACACS+Schlüssel]
tacacs-server timeout 30 

HP Procurve:

aaa authentication console login tacacs local
aaa authentication console enable tacacs local
aaa authentication Telnet login tacacs local
aaa authentication telnet enable tacacs local
aaa authentication num-attempts 3
tacacs-server host [IP DES TACACS SERVERS] key [TACACS+Schlüssel] 

Schreibe einen Kommentar

You have to agree to the comment policy.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg