| PageIdMakro |
|---|
| Seiteneigenschaften |
|---|
Description:
TACACS+ (Terminal Access Control Controller Access-Control Server) ist ein Protokoll zur Authentifizierung, Autorisierung und Accounting System) is a protocol for authentication, authorization and accounting (AAA) von Benutzern. Es stellt den Zugang zu Netzwerkkomponenten nur für bestimmte Nutzer sicher (Authentifizierung), regelt die Berechtigungen der Benutzer (Autorisierung) und überträgt Daten für die Protokollierung der Netzwerknutzung (Accounting). TACACS+ kann als Alternative zu anderen AAA-Protokollen wie RADIUS verwendet werden.of users. It provides access to the network only for certain users (authentication), it regulates the permissions of those users (authorization), and it logs user interactions (accounting) on the network. TACACS+ is an alternative to other AAA protocols such as RADIUS.
This article describes how to set up TACACS+ on an access point or router with LCOS and any special characteristics that have to be observed when logging onIn diesem Artikel wird beschrieben, wie TACACS+ auf einem Access Point oder Router mit LCOS eingerichtet wird und welche Besonderheiten bei der Anmeldung beachtet werden müssen.
Requirements:
- LCOS ab Version as of version 9.24 (download aktuelle Versionlatest version)
- LANtools ab Version as of version 9.24 24 (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff per WEBconfig
- latest version)
- Any browser for access via WEBconfig
- Any SSH client for command-line access (e.gBeliebiger SSH-Client für den Zugriff per Konsole (z.B. PuTTY)
Procedure:
1. Konfigurationsschritte auf dem Access Point / Router) Configuration steps on the access point / router:
| Info |
|---|
Although TACACS+ kann zwar auch per LANconfig oder das Konfigurations-Menü in WEBconfig eingerichtet werden, dabei wird aber nur die Authentifizierung aktiviert. Die Authorisierung sowie das Accounting können nur per Konsole oder im LCOS-Menübaum in WEBconfig aktiviert werden. Aus diesem Grund ist es sinnvoll, TACACS+ gänzlich per Konsole einzurichten. Eine bestehende Konsolen-Sitzung wird durch die Konfiguration von TACACS+ nicht beendet. Dadurch können die Befehle einzeln gesetzt werden, ohne dass Gefahr besteht, sich vom Gerät auszusperren. can be set up via LANconfig or the configuration menu in WEBconfig, this only activates authentication. Authorization and accounting can only be activated via the command line or in the LCOS menu tree in WEBconfig. For this reason it makes sense to set up TACACS+ entirely from the command line. The ongoing command-line session will not be terminated when TACACS+ is configured. This allows the commands to be entered individually without the risk of locking yourself out of the device. |
1.1 Verbinden Sie sich per Konsole mit dem Gerät und geben den Befehl zum Hinzufügen eines TACACS+-Servers im Format 1.1) Connect to the device via the command line and enter the command to add a TACACS+ server in the format add Setup/TACACS+/Server/{Server-Address}<IP-Addresse oder DNS-Name des TACACS+-Servers> ein.Address or DNS name of the TACACS+ server>.
| Info |
|---|
| Info |
Optional kann - sofern vorhanden - ein Backup-Server konfiguriert werden. Dazu muss ein zweiter Eintrag im Pfad A backup server can be configured if available. For this purpose, a second entry must be created in the path Setup/TACACS+/Server/ hinterlegt werden. Der zweite Server fungiert dann als Backup.. The second server then acts as a backup. Geben Sie dazu den Befehl im Format To do this, enter the command in the format add Setup/TACACS+/Server/{Server-Address} <IP -Addresse oder DNS-Name des Backup-TACACS+-Servers> einaddress or DNS name of the backup TACACS+ server>. |
1.2 Geben Sie den Befehl zum Setzen des Secret-Keys im Format ) Enter the command to set the secret key in the format set Setup/TACACS+/Shared-Secret <SecretSecret<Secret-Key> ein. Der Secret-Key wird zur Authentifizierung des Gerätes am TACACS+-Server verwendet. The secret key is used to authenticate the device on the TACACS+ server.
1.3 Geben Sie zum Aktivieren der Authorisierung und des Accounting die folgenden Befehle ein. Die Authorisierung und das Accounting sind ) To enable authorization and accounting, enter the following commands. Authorization and accounting are optional.
set Setup/TACACS+/Authorisation activated
set Setup/TACACS+/Accounting activated
1.4 Geben Sie abschließend den Befehl ) Finally, enter the command set Setup/Config/Authentication TACACS+ ein, damit für die Authentifizierung am Gerät TACACS+ verwendet wird to use TACACS+ for authentication on the device.
| Info | ||
|---|---|---|
| ||
The Fallback-to-local-users steuert, ob ein Fallback auf die lokalen Benutzer erfolgt, wenn der/die TACACS+-Server nicht erreichbar sind. In der Standard-Konfiguration ist der Fallback erlaubt (allowed). Authorisation-Type Der Parameter Authorisation-Type steuert, ob jeder Konsolen-Befehl einzeln autorisiert wird (Commands) oder ob der Zugriff einmalig komplett autorisiert wird (Shell). In der Standard-Konfiguration wird jeder Konsolen-Befehl einzeln autorisiert. |
2. Geräte-Konfiguration aufrufen und bearbeiten:
2.1 Geräte-Konfiguration per LANconfig aufrufen und bearbeiten:
| Info |
|---|
Die Konfiguration des Gerätes kann per LANconfig nur mit dem Benutzer root geöffnet werden (der Benutzer root verfügt über Supervisor Rechte). Auf dem TACACS+-Server muss daher der Benutzer root mit entsprechenden Berechtigungen hinterlegt werden. Wird neben der Authentifizierung auch die Authorisierung verwendet, müssen für den Benutzer root auch die Befehle readconfig und writeconfig erlaubt werden. |
Geben Sie in der Anmeldemaske in LANconfig die Zugangsdaten ein:
- Administrator: Geben Sie root ein. Im Gegensatz zur regulären Anmeldung wird bei Verwendung von TACACS+ nicht implizit der Benutzer root verwendet, weshalb dieser manuell eingetragen werden muss.
- Password: Geben Sie das Passwort für den Benutzer root ein.
2.2 Geräte-Konfiguration per WEBconfig aufrufen und bearbeiten:
| Info |
|---|
Wird die Konfiguration des Gerätes per WEBconfig mit einem normalen Benutzer aufgerufen (nicht mit dem Benutzer root), erhält der Benutzer initial lediglich Read-Only Rechte. Es können also keine Befehle ausgeführt werden. Damit der Benutzer erweiterte Berechtigungen erlangen kann, muss auf dem TACACS-Server dem Benutzer oder der Gruppe ein "enable" Passwort zugewiesen werden. |
users parameter controls whether the system falls back to the local users if the TACACS+ server(s) is(are) not reachable. In the default configuration, the fallback is allowed. Authorization-Type The parameter Authorization-Type controls whether each terminal command is authorized individually (Commands) or whether access is fully authorized once only (Shell). In the default configuration, each terminal command is authorized individually. |
2) Accessing and editing the device configuration:
2.1) Accessing and editing the device configuration via LANconfig:
| Info |
|---|
Configuring the device with LANconfig is only possible with the root user (the user root has Supervisor rights). On the TACACS+ server, therefore, the user root must be given the appropriate permissions. If both the authentication and the authorization are to be used, the user root must be allowed to use the commands readconfig and writeconfig. |
Enter your credentials in the LANconfig login mask:
- Administrator: Enter root. Unlike the regular login, using TACACS+ does not implicitly use the user root, which is why it must be entered manually.
- Password: Enter the password for the root user.
2.2) Access and edit the device configuration using WEBconfig:
| Info |
|---|
If a normal user accesses the device configuration via WEBconfig (and not the root user), the user initially receives read-only rights only. No further commands can be executed. In order for the user to obtain extended permissions, the user or group must be assigned an “enable” password on the TACACS server. |
2.2.1 Geben Sie bei Name den TACACS-Benutzer ein und klicken auf 2.2.1) Enter Name of the TACACS user and click Login.
2.2.2 Tragen Sie bei Nachricht an den ) Under Message to the TACACS+ Server das Passwort des TACACS-Benutzers ein und klicken auf , enter the password of the TACACS user and click Login.
2.2.3 Wechseln Sie in das Menü ) Go to the menu Extras → Change Privilege Level.
2.3.4 Wählen Sie das gewünschte Privilege Level aus und geben das "enable" Password ein. Klicken Sie anschließend auf ) Select the desired Privilege Level and enter the “enable” password. Then click Change level.
2.3 Geräte-Konfiguration per Konsole aufrufen und bearbeiten) Accessing and editing the device configuration from the command line:
2.3.1 Geräte-Konfiguration per Konsole aufrufen und bearbeiten mit aktiver Authentifizierung:) Access and edit the device configuration from the command line with authentication enabled:
| Info |
|---|
If a normal user accesses the device configuration via the command line (and not the root user), the user initially receives read-only rights only. No further commands can be executed. In order for the user to obtain extended permissions, the user or group must be assigned an “enable” password on the TACACS server |
| Info |
Wird die Konfiguration des Gerätes per Konsole mit einem normalen Benutzer aufgerufen (nicht mit dem Benutzer root), erhält der Benutzer initial lediglich Read-Only Rechte. Es können also keine Befehle ausgeführt werden. Damit der Benutzer erweiterte Berechtigungen erlangen kann, muss auf dem TACACS-Server dem Benutzer oder der Gruppe ein "enable" Passwort zugewiesen werden. |
2.3.1.1 Geben Sie auf der Konsole den TACACS-Benutzer gefolgt von dem zugehörigen Passwort ein) On the command line, enter the TACACS user followed by the corresponding password.
2.3.1.2 Geben Sie den Befehl enable ein gefolgt von dem "enable" Passwort) Enter the command enable followed by the “enable” password.
2.3.2 Geräte-Konfiguration per Konsole aufrufen und bearbeiten mit aktiver Authentifizierung und Authorisierung) Access and edit the device configuration from the command line with authentication and authorization enabled:
| Info |
|---|
Bei aktiver Authorisierung müssen alle Befehle, die auf dem Gerät ausgeführt werden sollen explizit im TACACS+-Server hinterlegt werden. Die erlaubten Befehle und Argumente finden Sie auf der folgenden Seite im Referenzhandbuch: |
With authorization enabled, all commands that are to be executed on the device must explicitly be stored in the TACACS+ server. The enabled commands and arguments can be found on the following page in the Reference Manual: |
Wird ein nicht erlaubter Befehl auf dem Gerät ausgeführt, gibt dieses die Meldung If an unauthorized command is executed on the device, it displays the message Command execution prohibited by TACACS+ aus,.
3. Rechtezuweisung unter ) Assigning rights under TACACS+:Die Rechte unter TACACS+ werden in bestimmten Leveln angegeben. Zur lokalen Authorisierung der Benutzer über das “enable”-Kommando auf der Konsole bzw. das Rechteniveau unter WEBconfig werden die verschiedenen Admistratorenrechte von LCOS auf die TACACS+-Level abgebildet
TACACS+ uses privilege levels to separate users into different groups. For the local authorization of users via the “enable” command on the command line or via privilege levels under WEBconfig, the various administrator rights of LCOS are mapped to the TACACS+ privilege levels:
| TACACS+-Level | AdministratorenrechteAdministrator rights |
|---|---|
| 0 | No rights |
| 1 | Read-Only |
| 3 | Read-Write |
| 5 | Read-Only-Limited-Admin |
| 7 | Read-Write-Limited-Admin |
| 9 | Read-Only Admin |
| 11 | Read-Write Admin |
| 15 | Supervisor (Root) |
...