星期二, 12月 12, 2006

FreeBSD 上的 TACACS+ Server for Cisco NAS

術語解釋:
TACACS --- Terminal Access Controller Access Control System 終端存取控制器存取控制系統。
AAA ---
Authentication、Authorization、Accounting 認證、授權、記帳。
NAS --- Network Access Server,會向 TACACS+ 要求認證(AAA)需求的『客戶端』伺服器,如 CISCO Router、Switch、Server 等等。
daemon -- 提供 TACACS+ AAA 服務的行程。
passwd(5) files -- Unix 密碼格式檔案,請參照 Unix 手冊中的文件第5段。
AV pairs -- 在 NAS 和 tacacs+ daemon 之間傳遞格式如
"attribute=value" 的一組文字,是 Tacacs+ 傳輸協定的一部份。

因為要求 Tacacs+ AAA 的機器本身很有可能也是伺服器,為了避免混淆,所以我們不用 Server 來稱呼提供 Tacacs+ 服務的機器,而是用 Daemon(Server) 與 NAS(Client) 來表示 Server/Client。

TACACS 介紹:
目前一般人提及的 TACACS 認證協定至少有三種版本。第一種就是傳統的 TACACS,最先是在 Cisco 的設備上使用多年的。第二種叫做 XTACACS 則是在 1990 發展出來,是 TACACS 的擴展版本。第三種則是 TACACS+,也是目前通用的版本,但是這個版本和舊版本的 TACACS 是完全不相容的。

tac_plus:
tac_plus 是一個 freeware,可以在大多數的類 Unix 的環境上找到,tac_plus 可以使用內建的資料庫、s/key 或 passwd(5) 格式的檔案,除此之外也可以透過 LDAP 或 RADIUS 由外部取得認證。

Step.1
在 FreeBSD 上,我們可以直接使用 ports 來安裝:
cd /usr/ports/net/tac_plus4
make install clean
Step.2
將 /usr/local/etc/tac_plus.conf.example 複製一份來修改:
cd /usr/local/etc
cp tac_plus.conf.example tac_plus.conf
vi tac_plus.conf
Step.3
tac_plus.conf 的內容:
#自定義用來跟 router 溝通的 key
key = "I think therefor I am"

# log 檔路徑
accounting file = /var/log/tac.log

user = irene {
login = des H9rhDCGdkjVG2
service = exec {
priv-lvl = 15
}
}

user = daisy {
login = cleartext "lollipop%@)"
service = exec {
priv-lvl = 1
}
}

user = $enab15$ {
login = des $1$tBwWeG3L$viCdJZu4gLw7zQBPOysGu0
}
NOTE: 密碼可以使用明文(plain text)或是 des 編碼,des 編碼可以用 tac_pwd -e 來產生。

Step.4
到 Cisco Router/Switch 上設定:
測試過的型號: GSR 12012、GSR 12008、7204 VXR、C2950。
IOS 版本:Version 12.0(21)S7, EARLY DEPLOYMENT RELEASE SOFTWARE (fc2)
tacacs-server host 192.168.1.100
tacacs-server key I think therefor I am
aaa new-model
aaa authentication login default tacacs+ local
aaa authorization exec default tacacs+ local
aaa accounting exec default start-stop tacacs+
aaa accounting commands 15 default stop-only tacacs+
aaa accounting network default start-stop tacacs+
aaa accounting connection default start-stop tacacs+
aaa accounting system default start-stop tacacs+
其他資訊請參考 Cisco 官網: http://www.cisco.com/warp/public/480/tacplus.shtml

沒有留言: