Vídeo: TACACS+

O TACACS+ (Terminal Access Controller Access Control System) é um protocolo que provê autenticação centralizada para usuários que desejam acesso a equipamentos de rede. O protocolo fornece serviço modular para o AAA separando esses serviços (autenticação, autorização e contabilidade) de forma independente.

Os dispositivos baseados no Comware trabalham com o HWTACACS (HW Terminal Access Controller Access Control System) que é uma versão baseada na RFC 1492 do TACACS+ com interoperabilidade com todos os serviços que operam com TACACS+.

Nesse vídeo descrevemos a configuração do serviço HWTACACS

Se inscreva no canal para receber a notificação dos próximos vídeos.

Comware 7 – Autenticação de TACACS com Tac_plus

Galera, durante a criação de um laboratório para testes de autenticação com TACACS de Roteadores MSR com Comware7, utilizamos o Debian com o tac_plus como Servidor.

Segue abaixo os scripts utilizados:

#
# tacacs configuration file
# Pierre-Yves Maunier – 20060713
# /etc/tac_plus.conf
# set the key
key = labcomutadores
accounting file = /var/log/tac_plus.acct
# users accounts
user = student1 {
	login = cleartext "normal"
	enable = cleartext "enable"
	name = "Usuario Teste"
	service = exec {
	    roles="network-admin"
       }
}
user = student2 {
	login = cleartext "normal"
	enable = cleartext "enable"
	name = "Usuario Teste"
	service = exec {
	    roles="network-operator"	
        }
}

Configuração do Roteador MSR HP

wtacacs scheme tac
primary authentication 192.168.1.10
primary authorization 192.168.1.10
primary accounting 192.168.1.10
! endereço do servidor TACACS
key authentication simple labcomutadores
key authorization simple labcomutadores
key accounting simple labcomutadores
user-name-format without-domain
#
domain tac.com.br
authentication login hwtacacs-scheme tac local
authorization login hwtacacs-scheme tac local
accounting login hwtacacs-scheme tac local
#
domain default enable tac.com.br
#
user-interface vty 0 4
authentication-mode scheme

Até logo

Roteador MSR 30 –16: Configurando TACACS em uma VPN-Instance (VRF)

Compatilho abaixo o script (comentado) para a autenticação de usuários em uma base remota para administração de um Roteador MSR 30-16. Os testes serviram para validar um Servidor ACS da Cisco para autenticação via TACACS em um Roteador HPN. A diferença deste teste para as outras configurações é a utilização do TACACS dentro de uma vpn-instance (VRF).


Configuração
#
ip vpn-instance test
 route-distinguisher 1:1
 vpn-target 1:1 export-extcommunity
 vpn-target 1:1 import-extcommunity
! Criando a VRF “test”
#
super password level 3 simple s3nhasup3r
super authentication-mode scheme
#
telnet server enable
#
hwtacacs scheme acs
! Criando o esquema TACACS com o nome acs
primary authentication 192.168.1.10 vpn-instance test
!Configurando o IP do Servidor ACS para autenticação
primary authorization 192.168.1.10 vpn-instance test
!Configurando o IP do Servidor ACS para autorização
primary accounting 192.168.1.10 vpn-instance test
!Configurando o IP do Servidor ACS para contabilidade
nas-ip 172.16.1.1
!Endereço de IP do Switch cadastrado no ACS
key authentication teste123
! Chave para autenticação com o servidor ACS  com a senha"teste123"
key authorization teste123
key accounting teste123
user-name-format without-domain
! Encaminhamento do usuário sem o formato @dominio
#
domain acs
authentication login hwtacacs-scheme acs local
!Configurando a autenticação com TACACS e em caso de falha, a autenticação será local.
authorization login hwtacacs-scheme acs local
accounting login hwtacacs-scheme acs local
authentication default hwtacacs-scheme acs local
authorization default hwtacacs-scheme acs
accounting default hwtacacs-scheme acs
authentication super hwtacacs-scheme acs
accounting command hwtacacs-scheme acs
#
domain default enable acs
! Habilitando o dominio acs como default para auetnticação
#
interface Ethernet0/0
 port link-mode route
 ip binding vpn-instance test
 172.16.1.1 255.255.255.0
#
user-interface vty 0 4
authentication-mode scheme
#

obs: Sugerimos que durante os testes, não configure o authentication-mode scheme no acesso via Console, para em caso de falha nos testes, você não fique trancado do lado de fora do Switch.

A autenticação do “super-usuário” via TACACS também está inclusa no script.

Abração

Switches HPN 4200G – Configurando a autenticação com TACACS

Compatilho abaixo o script básico (comentado) para a autenticação no acesso em Switches HPN utilizando AAA, com o Servidor ACS da Cisco e o protocolo TACACS. A autenticação para o super usuário em nosso exemplo, está como local.

Configuração

#
super password level 3 simple S3nha
! Criando a senha do super usuário como "S3nha"
#
hwtacacs scheme comutadores
! Criando o esquema TACACS com o nome Comutadores
primary authentication 192.168.1.10
!Configurando o IP do Servidor ACS para autenticação
primary authorization 192.168.1.10
!Configurando o IP do Servidor ACS para autorização
primary accounting 192.168.1.10
!Configurando o IP do Servidor ACS para contabilidade
nas-ip 148.91.219.56
!Endereço de IP do Switch cadastrado no ACS
key authentication s3nhacom
! Chave para autenticação com o servidor ACS  com a senha"s3nhacom"

key authorization s3nhacom
key accounting s3nhacom
user-name-format without-domain
! Encaminhamento do usuário sem o formato @dominio
#
domain comutadores.com.br
authentication login hwtacacs-scheme comutadores local
!Configurando a autenticação com TACACS e em caso de falha, a autenticação será local.
authorization login hwtacacs-scheme comutadores local
accounting login hwtacacs-scheme comutadores local
#
domain default enable comutadores.com.br
! Habilitando o dominio comutadores.com.br como default para auetnticação
#
user-interface vty 0 4
authentication-mode scheme
#

obs: Sugerimos que durante os testes, não configure o authentication-mode scheme no acesso via Console, para em caso de falha nos testes, você não fique trancado do lado de fora do Switch. 😉

Boa semana!