Debian 8 Jessie-de Cisco Router bilen TACACS + gurmak we konfigurasiýa

Tehnologiýa häzirki wagtda tor enjamlaryna we şol enjam enjamlarynyň dogry konfigurasiýasyna bil baglaýar. Dolandyryjylara konfigurasiýa üýtgeşmeleriniň diňe durmuşa geçirilmezden ozal düýpli synagdan geçirilmän, eýsem üýtgeşmeler girizmäge ygtyýarly şahslar tarapyndan üýtgeşmeleriň girizilendigine göz ýetirmek hem tabşyrylýar.

Bu howpsuzlyk ýörelgesi AAA (Triple-A) ýa-da Autentifikasiýa, Awtorizasiýa we Hasapçylyk diýlip atlandyrylýar. Dolandyryjylara enjamlara we şol enjamlaryň hyzmat edýän torlaryna elýeterliligi üpjün etmek üçin AAA funksiýasyny hödürleýän iki sany görnükli ulgam bar.

RADIUS (Uzakdan Giriş Dial-In Ulanyjy Hyzmaty) we TACACS + (Terminal Giriş Dolandyryjysyna Dolandyryş Ulgamy Plus).

Radius, adatça TACACS-dan tapawutlanýan tora girmek üçin ulanyjylary tassyklamak üçin ulanylýar, sebäbi TACACS adatça enjam dolandyryşy üçin ulanylýar. Bu iki protokolyň arasyndaky uly tapawutlaryň biri, TACACS-yň AAA funksiýalaryny garaşsyz funksiýalara bölmek ukybydyr.

AAA funksiýalarynyň TACACS bölünmeginiň artykmaçlygy, ulanyjynyň käbir buýruklary ýerine ýetirmek ukybyna gözegçilik edip bolýar. Ulgam işgärlerine ýa-da beýleki IT administratoryna gaty granul derejesinde dürli buýruk artykmaçlyklaryny bermek isleýän guramalar üçin bu gaty amatly.

Bu makala, TACACS + ulgamy hökmünde hereket etmek üçin Debian ulgamyny gurmakdan geçer.

  1. Debian 8 guruldy we tor birikmesi bilen sazlandy. Debian 8
    2. nädip gurmalydygy barada bu makalany okaň
  2. Cisco tor kommutatory 2940 (Beýleki Cisco enjamlarynyň köpüsi hem işlär, ýöne wyklýuçatel/marşrutizatordaky buýruklar üýtgäp biler).

Debian 8-de TACACS + programma üpjünçiligini gurmak

Bu täze TACACS serwerini döretmekde ilkinji ädim ammarlardan programma üpjünçiligini almak bolar. Bu “apt” buýrugyny ulanmak bilen aňsatlyk bilen ýerine ýetirilýär.

# apt-get install tacacs+

Aboveokardaky buýruk 49-njy portda serwer hyzmatyny gurar we başlar. Muny birnäçe kömekçi enjamlar bilen tassyklap bolýar.

# lsof -i :49
# netstat -ltp | grep tac

Bu iki buýruk, TACACS-yň bu ulgamdaky 49-njy portda diňleýändigini görkezýän setiri yzyna gaýtarmaly.

Şu wagt TACACS bu enjamdaky birikmeleri diňleýär. Indi TACACS hyzmatyny we ulanyjylaryny sazlamagyň wagty geldi.

TACACS hyzmatyny we ulanyjylaryny sazlamak

Serweriň birnäçe adresi bar bolsa, hyzmatlary belli bir IP adresleri bilen baglanyşdyrmak gowy pikir. Bu meseläni ýerine ýetirmek üçin, IP adresi kesgitlemek üçin deslapky daemon opsiýalary üýtgedilip bilner.

# nano /etc/default/tacacs+

Bu faýl, TACACS ulgamynyň başlamaly daemon sazlamalarynyň hemmesini kesgitleýär. Adaty gurnama diňe konfigurasiýa faýlyny görkezer. Bu faýla -B argumentini goşmak bilen, TACACS diňlemek üçin belli bir IP adresi ulanylyp bilner.

DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Debian-da ýörite bellik: Näme üçindir täze daemon opsiýalaryny okamak üçin TACACS + hyzmatyny täzeden açmaga synanyşmak şowsuz (tacacs_plus hyzmatyny täzeden açmak arkaly).

Bu ýerdäki mesele, TACACS init skriptiniň üsti bilen başlanda, PID statiki taýdan\PIDFILE =/var/run/tac_plus.pid -e düzülen ýaly, ýöne\- B X.X.X.X daemon görnüşi hökmünde görkezilende, pid faýlyň ady \/var/run/tac_plus.pid.X.X.X.X adyna üýtgedildi.

Munuň ýalňyşdygyna ýa-da ýokdugyna doly ynanamok, ýöne wagtlaýyn ýagdaýa garşy göreşmek üçin PIDFILE init skriptinde el bilen PIDFILE =/var/run/tac_plus.pid.X.X.X.X edip üýtgedip bilersiňiz. bu ýerde X.X.X.X IP adresi TACACS diňlemeli we soňra hyzmaty başlamaly:

# service tacacs_plus start

Hyzmaty täzeden açanyňyzdan soň, TACACS hyzmatynyň dogry IP adresini diňleýändigini tassyklamak üçin lsof buýrugy gaýtadan ulanylyp bilner.

# lsof -i :49

Aboveokarda görkezilişi ýaly, TACACS ýokardaky TACACS deslapky faýlynda görkezilişi ýaly belli bir IP adresi boýunça IP adresi diňleýär. Bu pursatda ulanyjylar we ýörite buýruk toplumlary döredilmeli.

Bu maglumatlar başga bir faýl bilen dolandyrylýar: '/etc/tacacs+/tac_plus.conf'. Degişli üýtgetmeler girizmek üçin bu faýly tekst redaktory bilen açyň.

# nano /etc/tacacs+/tac_plus.conf

Bu faýl, TACACS aýratynlyklarynyň hemmesiniň bolmaly ýeri (ulanyjy rugsatlary, giriş gözegçilik sanawlary, host açarlary we ş.m.). Ilki bilen döredilmeli zat, tor enjamlary üçin açardyr.

Bu ädimde köp çeýeligi bar. Networkhli ulgam enjamlary üçin bir düwme düzülip bilner ýa-da her enjamda birnäçe düwme düzülip bilner. Saýlaw ulanyjynyň özüne bagly, ýöne bu gollanma ýönekeýlik üçin ýekeje açary ulanar.

key = "super_secret_TACACS+_key"

Bir açar düzülenden soň, ulanyjylaryň soň beriljek rugsatlaryny kesgitleýän toparlar gurulmalydyr. Topar döretmek, rugsatlaryň wekiliýetini has aňsatlaşdyrýar. Aşakda doly administrator hukuklaryny bellemegiň mysaly.

group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. Toparyň ady\topar=adminler setiri bilen kesgitlenýär, adminler toparyň ady.
  2. \default service=rugsat setiri, eger buýruk aç-açan inkär edilmese, oňa aç-açan rugsat beriň.
  3. \service=exec {priv-lvl=15} Cisco enjamynda exec re iniminde artykmaçlyk derejesine 15-e mümkinçilik berýär (artykmaçlyk derejesi Cisco enjamlarynda iň ýokary 15).

Indi ulanyjy toparyna administrator toparyna bellenmeli.

user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. \user=rob söz düzümi, ulanyjy adyna belli bir çeşmä girmäge mümkinçilik berýär.
  2. \agza=adminler TACACS + -a, bu ulanyjynyň ygtyýarlyklarynyň sanawyny almak üçin adminler diýilýän öňki topara ýüzlenmegi aýdýar.
  3. Iň soňky setir,\login=des mjth124WPZapY bu ulanyjynyň tassyklanmagy üçin des kodlanan paroldyr (bu super\çylşyrymly parol mysalyny bilmek üçin kraker ulanyp bilersiňiz)!

Üns beriň: Şifrlenen parollary aç-açan däl-de, bu faýla ýerleşdirmek iň oňat tejribe, sebäbi kimdir biri bu faýly okamaly we hökmany suratda girip bilmedik ýagdaýynda birneme howpsuzlyk goşýar.

Munuň üçin oňat öňüni alyş çäresi, iň bolmanda konfigurasiýa faýlyndaky dünýä okalýan girişi aýyrmakdyr. Muny aşakdaky buýruk arkaly ýerine ýetirip bolar:

# chmod o-r /etc/tacacs+/tac_plus.conf
# service tacacs_plus reload

Bu pursatda serwer tarapy tor enjamlaryndan birikmäge taýyn. Geliň, indi “Cisco” wyklýuçateline geçeliň we ony bu Debian TACACS + serweri bilen habarlaşmak üçin düzeliň.