Nwụnye na nhazi nke TACACS+ na Cisco Router na Debian 8 Jessie


Teknụzụ taa na-adabere na akụrụngwa netwọkụ na nhazi kwesịrị ekwesị nke akụrụngwa netwọk ahụ. A na-arụ ọrụ ndị nchịkwa iji hụ na ọ bụghị nanị na a na-anwale mgbanwe nhazi nke ọma tupu mmejuputa ya ma na-eme mgbanwe nhazi ọ bụla site n'aka ndị mmadụ nyere ikike ime mgbanwe yana ijide n'aka na abanyela mgbanwe ndị ahụ.

A maara ụkpụrụ nchekwa a dị ka AAA (Triple-A) ma ọ bụ Nyocha, ikike na Akaụntụ. Enwere sistemụ abụọ a ma ama nke na-enye ọrụ AAA maka ndị nchịkwa iji nweta ohere ịnweta ngwaọrụ yana netwọkụ ngwaọrụ ndị ahụ na-eje ozi.

RADIUS (ọrụ ọkpụkpọ oku na-enweta anya) na TACACS+ (Sistemụ Njikwa Nweta-Njikwa Ọsọ).

A na-eji Radius eme ihe n'ọdịnala iji chọpụta ndị ọrụ ịnweta netwọk nke dị iche na TACACS na TACACS na-eji omenala maka nchịkwa ngwaọrụ. Otu n'ime nnukwu ọdịiche dị n'etiti usoro abụọ a bụ ikike nke TACACS ikewapụ ọrụ AAA n'ime ọrụ onwe ha.

Uru nke TACACS nkewa nke ọrụ AAA bụ na enwere ike ịchịkwa ikike onye ọrụ ime ụfọdụ iwu. Nke a bara ezigbo uru nye ndị otu chọrọ ịnye ndị ọrụ ịkparịta ụka n'Ịntanet ma ọ bụ ndị nchịkwa IT ndị ọzọ ikike iwu dị iche iche na ọkwa dị elu.

Edemede a ga-ejegharị site na ịtọlite usoro Debian ka ọ rụọ ọrụ dị ka sistemụ TACACS +.

  1. Debian 8 arụnyere wee hazie ya na njikọ netwọkụ. Biko gụọ akụkọ a ka esi etinye Debian 8
  2. Cisco network mgba ọkụ 2940 (Imirikiti ngwaọrụ Cisco ndị ọzọ ga-arụkwa ọrụ mana iwu na mgba ọkụ/rawụta nwere ike ịdị iche).

Nwụnye nke TACACS+ Software na Debian 8

Nzọụkwụ mbụ na ịtọlite sava TACACS ọhụrụ a ga-abụ inweta ngwanro site na ebe nchekwa. A na-arụzu nke a n'ụzọ dị mfe site n'iji iwu 'adabara'.

# apt-get install tacacs+

Iwu ahụ dị n'elu ga-arụnye ma malite ọrụ nkesa na ọdụ ụgbọ mmiri 49. Enwere ike ịkwado nke a na ọtụtụ ọrụ.

# lsof -i :49
# netstat -ltp | grep tac

Iwu abụọ a kwesịrị ịlaghachi ahịrị na-egosi TACACS na-ege ntị na ọdụ ụgbọ mmiri 49 na sistemụ a.

N'oge a TACACS na-ege ntị maka njikọ na igwe a. Ugbu a ọ bụ oge ịhazi ọrụ TACACS na ndị ọrụ.

Na-ahazi ọrụ TACACS na ndị ọrụ

Ọ bụ ihe dị mma ijikọ ọrụ na adreesị IP akọwapụtara ma ọ bụrụ na ihe nkesa ahụ nwere ọtụtụ adreesị. Iji mezuo ọrụ a, enwere ike gbanwee nhọrọ daemon ndabara iji kọwaa adreesị IP.

# nano /etc/default/tacacs+

Faịlụ a na-akọwapụta ntọala daemon niile sistemụ TACACS kwesịrị ịmalite. Nwụnye ndabara ga-akọwapụta naanị faịlụ nhazi. Site n'ịgbakwunye arụmụka '-B' na faịlụ a, enwere ike iji adreesị IP akọwapụtara maka TACACS gee ntị.

DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Ihe edeturu pụrụ iche na Debian: N'ihi ihe ụfọdụ ịnwa ịmalitegharị ọrụ TACACS+ iji gụọ nhọrọ daemon ọhụrụ emeghị nke ọma (site na ọrụ tacacs_plus malitegharịa).

Okwu a dị ka ọ bụ mgbe amalitere TACACS site na edemede init, a na-edozi PID na statically ka ọ bụrụ PIDFILE=/var/run/tac_plus.pid agbanyeghị mgbe akọwapụtara \-B X.X.X.X dị ka nhọrọ daemon, a na-agbanwe aha faịlụ pid ka ọ bụrụ \/var/run/tac_plus.pid.X.X.X.X.

Ejighị m n'aka ma ọ bụrụ na nke a bụ ahụhụ ma ọ bụ na ọ bụghị, mana iji lụso ọnọdụ ahụ ọgụ nwa oge, mmadụ nwere ike iji aka tinye PIDFILE na edemede init site n'ịgbanwe ahịrị gaa na \PIDFILE=/var/run/tac_plus.pid.X.X.X.X ebe X.X.X.X bụ adreesị IP TACACS kwesịrị ige ntị wee malite ọrụ na:

# service tacacs_plus start

Mgbe ịmalitegharị ọrụ ahụ, enwere ike iji iwu lsof ọzọ iji gosi na ọrụ TACACS na-ege ntị na adreesị IP ziri ezi.

# lsof -i :49

Dị ka a hụrụ n'elu, TACACS na-ege ntị na adreesị IP na adreesị IP kpọmkwem dị ka edobere na faịlụ ndabara TACACS n'elu. N'ebe a ọ dị mkpa ka ịmepụta ndị ọrụ na usoro iwu akọwapụtara.

Faịlụ ọzọ na-ejikwa ozi a: '/etc/tacacs+/tac_plus.conf'. Mepee faịlụ a na onye ndezi ederede iji mee mgbanwe kwesịrị ekwesị.

# nano /etc/tacacs+/tac_plus.conf

Faịlụ a bụ ebe nkọwa TACACS niile kwesịrị ibi (ikike onye ọrụ, ndepụta njikwa, igodo nnabata, wdg). Ihe mbụ ekwesịrị ịmepụta bụ igodo maka ngwaọrụ netwọkụ.

Enwere ọtụtụ mgbanwe na nzọụkwụ a. Enwere ike ịhazi otu igodo maka ngwaọrụ netwọkụ niile ma ọ bụ nwee ike ịhazi ọtụtụ igodo n'otu ngwaọrụ. Nhọrọ dịịrị onye ọrụ mana ntuziaka a ga-eji otu igodo maka ịdị mfe.

key = "super_secret_TACACS+_key"

Ozugbo emeziri igodo, ekwesịrị iwulite otu ndị na-ekpebi ikike a ga-ekenye ndị ọrụ ma emechaa. Ịmepụta otu na-eme ka ndị nnọchiteanya nke ikike dị mfe karị. N'okpuru bụ ọmụmaatụ nke ịnye ikike onye nchịkwa zuru oke.

group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. A na-ekpebi aha otu ahụ site na ahịrị \group = admins na ndị admins bụ aha otu.
  2. Akara \default service = allow na-egosi na ọ bụrụ na ajụrụghị iwu n'ụzọ doro anya, hapụzie ya n'ezoghị ọnụ.
  3. Ọrụ = exec {priv-lvl = 15}” na-enye ohere ọkwa 15 na ọnọdụ exec na ngwaọrụ Sisiko (ọkwa 15 kacha elu na ngwa Cisco).

Ugbu a ọ dị mkpa ka e kenye onye ọrụ na otu admin.

user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. The \user = rob stanza na-enye ohere ka onye ọrụ-aha nke ohi nweta ụfọdụ akụrụngwa.
  2. Ndị otu = admins na-agwa TACACS+ ka ha rụtụ aka na otu gara aga a na-akpọ admins maka ndepụta ihe enyere onye ọrụ a ikike ime.
  3. Akara ikpeazụ, \login = des mjth124WPZapY bụ paswọọdụ ezoro ezo maka onye ọrụ a iji chọpụta ( nweere onwe gị iji cracker iji chọpụta ihe atụ okwuntughe a dị oke egwu)!

Ihe dị mkpa: Ọ bụkarị omume kacha mma itinye okwuntughe ezoro ezo na faịlụ a karịa ederede doro anya ka ọ na-agbakwunye ntakịrị nchekwa ma ọ bụrụ na mmadụ agụọ faịlụ a na ekwesịghị ịnweta ohere.

Ihe mgbochi dị mma maka nke a bụ ma ọ dịkarịa ala wepụ ohere ịgụ ụwa na faịlụ nhazi. Enwere ike ime nke a site na iwu a:

# chmod o-r /etc/tacacs+/tac_plus.conf
# service tacacs_plus reload

N'oge a akụkụ nkesa dị njikere maka njikọ sitere na ngwaọrụ netwọk. Ka anyị gaba na Cisco mgba ọkụ ugbu a ma hazie ya ka anyị na ihe nkesa Debian TACACS+ kparịta ụka.