Topología |
Para esta laboratorio, nos bajamos el servidor Tacacs de www.tacacs.net en el equipo W7-TFTP Hacemos la instalación normal y cuando nos pregunte por el "shared secret" escribimos: mysharedsecret
Vamos a Inicio-All Programs-Tacacs.net-Configuration. Ahí tenemos los 4 archivos para configurar el servidor Tacacs. Para poder configurarlos tenemos que darle permisos en los archivos (pestaña de Security) a los Users si no estamos con el usuario administrador. También hay que desmarcar la opción de "read-only".
Ahora editamos el archivo "tacplus" y cambiamos la ip 127.0.0.1 de línea de Local IP por la nuestra:
También editamos el archivo "authentication" y eliminamos todo lo que viene excepto lo siguiente:
Ojo con no dejar los símbolos <-- anulan="" b="" de="" esa="" la="" lectura="" parte="" que="" ya=""> --> |
Y por último, el archivo "authorization" lo dejamos así:
El archivo "clients" viene configurado por defecto para aceptar equipos que tengan direcciones de los rango 192.168.0.0/16.
Y después de esto nos metemos ya a configurar nuestros equipos A10. Lo primero de todo es decirle a nuestro equipo A10 quien es el servidor tacacs:
- tacacs-server host 192.168.0.50 secret mysharedsecret
Ahora los detalles de cómo queremos que sea nuestra autenticación:
- authentication type tacplus local
- authentication mode multiple
En el modo "multiple", si la primera opción falla al autenticar, continuará ofreciendo las opciones para autenticarse hasta que se agoten.
Para probar si funciona nuestra configuración, iniciamos una nueva sesión en el A10 y le metemos el usuario y el password que hayamos configurado en el archivo "authentication". Yo, para no complicarme, lo he dejado todo igual:
No deja entrar al modo enable. Lo vemos más abajo. |
Si escribís el comando "show tacacs-server", podréis ver estadísticas de las sesiones y los intentos de sesión. Hay que hacerlo con el usuario admin porque con este no tenemos permisos, por ahora.
Nos salimos del equipo A10 con el usuario que hemos probado y vamos al servidor W7-TFTF. Abrimos una consola de comandos con permisos de administador y paramos el servicio tacacs.net:
- net stop tacacs.net
Esperamos a un par de minutos como mucho para asegurarnos que se para el servicio y que cierra el puerto 49, el de tacacs. Y volvemos a probar a entrar con el usuario de tacacs. Y no debería dejarnos entrar, pero como hemos configurado el modo "mutliple" y esto habilita la opción "tiered", nos permitirá entrar con el usuario local "admin", al tener como segunda opción que use la tabla de usuarios local si no está disponible tacplus.
Ahora volvemos a iniciar el servicio tacacs en el servidor W7-TFTP:
- net start tacacs.net
Y cambiamos el modo de autenticación en nuestro equipo A10:
- authentication mode single
Nota: Al ser el modo por defecto, no nos aparecerá en la running-config.
Comprobamos que con el modo "single" podemos entrar con el usuario de tacacs. Paramos otra vez el servicio de tacacs de W7-TFTP y probamos a entrar con el usuario tacacs y, cuando no nos deje, probamos con el de "admin".
El modo "single" termina de ofrecer la autenticación cuando la primera opción falla. Es un modo más seguro.
Con el usuario de tacacs user1, habréis podido comprobar que solo tiene permisos para entrar en el equipo pero no puede hacer nada más. Esto es debido a la siguiente parte del archivo "authorization":
Ahora podemos entrar al modo enable pero si queremos configurar no nos deja. Modificamos el archivo "authorization" para que el usuario tenga los permisos para configurar:
Otro comando importante es el siguiente:
- authorization commands method 15 tacplus
Si tenemos este comando configurado, los usuarios locales, excepto el "admin" podrán logarse pero no podrán entrar en el modo enable:
Para llevar la contabilidad (accounting) del registro de los intentos de acceso y los comandos introducidos en el servidor tacacs, tenemos que darle al A10 el siguiente comando:
- accounting exec start-stop tacplus
- accounting commands 15 stop-only tacplus
Todo este registro se queda grabado en la siguiente carpeta del W7-TFTP:
- C:\ProgramData\TACACS.net\Logs
Probad a entrar al equipo con user1 y guardar la configuración. Después vais al archivo de la carpeta y comprobáis que ha registrado los cambios.
No hay comentarios:
Publicar un comentario