barra de menu

jueves, 7 de noviembre de 2019

A10 - AAA - LABORATORIO

Topología

Para esta laboratorio, nos bajamos el servidor Tacacs de www.tacacs.net en el equipo W7-TFTP Hacemos la instalación normal y cuando nos pregunte por el "shared secret" escribimos: mysharedsecret

Vamos a Inicio-All Programs-Tacacs.net-Configuration. Ahí tenemos los 4 archivos para configurar el servidor Tacacs. Para poder configurarlos tenemos que darle permisos en los archivos (pestaña de  Security) a los Users si no estamos con el usuario administrador. También hay que desmarcar la opción de "read-only".

Ahora editamos el archivo "tacplus" y cambiamos la ip 127.0.0.1 de línea de Local IP por la nuestra:





También editamos el archivo "authentication" y eliminamos todo lo que viene excepto lo siguiente:

Ojo con no dejar los símbolos <-- anulan="" b="" de="" esa="" la="" lectura="" parte="" que="" ya="">

Y por último, el archivo "authorization" lo dejamos así:




El archivo "clients" viene configurado por defecto para aceptar equipos que tengan direcciones de los rango 192.168.0.0/16.


Y después de esto nos metemos ya a configurar nuestros equipos A10. Lo primero de todo es decirle a nuestro equipo A10 quien es el servidor tacacs:
  • tacacs-server host 192.168.0.50 secret mysharedsecret

 Ahora los detalles de cómo queremos que sea nuestra autenticación:
  • authentication type tacplus local
  • authentication mode multiple

En el modo "multiple", si la primera opción falla al autenticar, continuará ofreciendo las opciones para autenticarse hasta que se agoten.

Para probar si funciona nuestra configuración, iniciamos una nueva sesión en el A10 y le metemos el usuario y el password que hayamos configurado en el archivo "authentication". Yo, para no complicarme, lo he dejado todo igual:

No deja entrar al modo enable. Lo vemos más abajo.


Si escribís el comando "show tacacs-server", podréis ver estadísticas de las sesiones y los intentos de sesión. Hay que hacerlo con el usuario admin porque con este no tenemos permisos, por ahora.

Nos salimos del equipo A10 con el usuario que hemos probado y vamos al servidor W7-TFTF. Abrimos una consola de comandos con permisos de administador y paramos el servicio tacacs.net:
  • net stop tacacs.net


Esperamos a un par de minutos como mucho para asegurarnos que se para el servicio y que cierra el puerto 49, el de tacacs. Y volvemos a probar a entrar con el usuario de tacacs. Y no debería dejarnos entrar, pero como hemos configurado el modo "mutliple" y esto habilita la opción "tiered", nos permitirá entrar con el usuario local "admin", al tener como segunda opción que use la tabla de usuarios local si no está disponible tacplus.



Ahora volvemos a iniciar el servicio tacacs en el servidor W7-TFTP:
  • net start tacacs.net


Y cambiamos el modo de autenticación en nuestro equipo A10:
  • authentication mode single

Nota: Al ser el modo por defecto, no nos aparecerá en la running-config.

Comprobamos que con el modo "single" podemos entrar con el usuario de tacacs. Paramos otra vez el servicio de tacacs de W7-TFTP y probamos a entrar con el usuario tacacs y, cuando no nos deje, probamos con el de "admin".

El modo "single" termina de ofrecer la autenticación cuando la primera opción falla. Es un modo más seguro.


Con el usuario de tacacs user1, habréis podido comprobar que solo tiene permisos para entrar en el equipo pero no puede hacer nada más. Esto es debido a la siguiente parte del archivo "authorization":



En esta parte del archivo es donde se configuran los permisos específicos. Como podéis ver, la opción enable no está permitida. Los símbolos <-- b=""> y --> <-- b="" y="">hacen que no se lea esa parte del archivo. Vamos a modificar esa parte para que nos deje entrar en modo enable. Le quitamos los símbolos a la parte de enable y probamos a entrar con user1.



Ahora podemos entrar al modo enable pero si queremos configurar no nos deja. Modificamos el archivo "authorization" para que el usuario tenga los permisos para configurar:



Otro comando importante es el siguiente:

  • authorization commands method 15 tacplus

Si tenemos este comando configurado, los usuarios locales, excepto el "admin" podrán logarse pero no podrán entrar en el modo enable:



Para llevar la contabilidad (accounting) del registro de los intentos de acceso y los comandos introducidos en el servidor tacacs, tenemos que darle al A10 el siguiente comando:
  • accounting exec start-stop tacplus
  • accounting commands 15 stop-only tacplus


Todo este registro se queda grabado en la siguiente carpeta del W7-TFTP:
  • C:\ProgramData\TACACS.net\Logs

Probad a entrar al equipo con user1 y guardar la configuración. Después vais al archivo de la carpeta y comprobáis que ha registrado los cambios.



Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)