Versionen im Vergleich

Alte Version 1

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

PageIdMakro

Seiteneigenschaften


Beschreibung:

TACACS+ (Terminal Access Control Access Control Server) ist ein Protokoll zur Authentifizierung, Autorisierung und Accounting (AAA) von Benutzern. Es stellt den Zugang zu Netzwerkkomponenten nur für bestimmte Nutzer sicher (Authentifizierung), regelt die Berechtigungen der Benutzer (Autorisierung) und überträgt Daten für die Protokollierung der vom Benutzer vorgenommenen Konfigurations-Änderungen (Accounting). TACACS+ kann als Alternative zu anderen AAA-Protokollen wie RADIUS verwendet werden.

In diesem Artikel wird beschrieben, wie TACACS+ auf einem Switch der XS-51xx / XS-61xx und GS-45xx Serie eingerichtet wird und welche Besonderheiten bei der Anmeldung beachtet werden müssen. 

Voraussetzungen:

Vorgehensweise:

1. Konfigurationsschritte auf dem Switch:

1.1 Verbinden Sie sich per Webinterface mit dem Switch und wechseln in das Menü Security → TACACS+ → Server Summary.

Menü TACACS Server Summary aufrufenImage Modified

1.2 Klicken Sie unter Server Configuration auf Add New Serverauf Add, um einen Eintrag für einen Server zu erstellen.

Neuen TACACS-Server hinzufügenImage Modified

1.3 Passen Sie die folgenden Parameter an und klicken auf Apply Submit:

  • HostnameServer: Tragen Sie die IP-Adresse oder den DNS-Namen des TACACS+-Servers ein (in diesem Beispiel 192.168.1.100).
  • Port: Passen Sie den Port bei Bedarf an. In diesem Beispiel wird der Standard-Port 49 verwendet.
  • Timeout: Lassen Sie den Timeout leer. Dann wird der Wert aus der Global Configuration verwendet (Standard-Wert 5 Sekunden).
  • Change Secret KeyKey String: Tragen Sie den Secret Key ein. Der Secret Key wird zur Authentifizierung des Gerätes am TACACS+-Server verwendet.
Info

Optional können weitere Einträge für TACACS+-Server hinterlegt werden. Diese fungieren als Backup, falls der erste Server nicht erreichbar ist. Es können bis zu fünf TACACS+-Server hinterlegt werden.

IP-Adresse und Secret Key für den TACACS-Server eintragenImage Modified

1.4 Wechseln Sie in das Menü Security System Management AAA Auth MethodAuthentication List.

Image RemovedMenü Authentication List aufrufenImage Added

1.5 Wählen Sie für die gewünschten Management-Protokolle (Client) unter Methods als erste Option tacacs aus. Wählen Sie als zweite Option local aus, damit  ein Fallback auf die lokale Benutzer-Tabelle erfolgt, wenn der/die das gewünschte Protokoll aus (in diesem Beispiel HTTPS mit der httpslist) und klicken auf Edit, um weitere Einstellungen vorzunehmen.

Info

Die folgenden Schritte gelten analog für die Protokolle HTTP (httplist) und Telnet bzw. SSH (networklist).

Eintrag httpsList bearbeitenImage Added

1.6 Wählen Sie bei Selected Methods die Option Local aus und klicken auf das Pfeil-Symbol, welches nach links zeigt, um dieses zu entfernen.

Methode Local entfernenImage Added

1.7 Wählen Sie bei gedrückter <STRG> Taste bei Available Methods nacheinander die Optionen TACACS und Local aus und klicken auf das Pfeil-Symbol, welches nach rechts zeigt, um diese hinzuzufügen.

Info

Die Methoden bei Selected Methods werden der Reihe nach durchlaufen. Daher muss zuerst TACACS und danach Local hinterlegt werden. Ist der TACACS+-Server nicht erreichbar

...

, erfolgt ein Fallback auf die lokale Benutzer-Tabelle.

Image RemovedMethoden TACACS und LOCAL nacheinander auswählen und hinzufügenImage Added

1.6 Wählen Sie unter Command Authorization Method Configuration für das gewünschte Protokoll unter Method die Option tacacs aus8 Klicken Sie auf Submit, um die TACACS-Autorisierung Änderungen zu aktivierenübernehmen.

Änderungen übernehmenImage Added

1.9 Wechseln Sie in den Reiter Authorization List und wählen die Liste dfltCmdAuthList aus. Klicken Sie anschließend auf Edit, um weitere Einstellungen vorzunehmen.

Info

Die 

Info

Optional können die Parameter für Cmd Lvl sowie Cfg Cmd angepasst werden:

  • Cmd Lvl: Alle Befehle ab diesem Privilege-Level müssen autorisiert werden.
  • Cfg Cmd: Dieser Parameter bewirkt, dass auch Befehle zur Konfiguration autorisiert werden.

Die Autorisierung kann nur für die Konfiguration per Console. Telnet und SSH aktiviert werden, nicht aber für das Webinterface.

Wenn Sie die Schritte 1.10 bis 1.12 auch für die dfltExecAuthList ausführen, erfolgt die Anmeldung mit erweiterten Rechten. Die erweiterten Rechte müssen also nicht extra über den Befehl Enable angefordert werden.

Reiter Authorization List aufrufen und Eintrag dfltCmdAuthList bearbeitenImage AddedImage Removed

1.7 10 Wählen Sie unter Accounting Method Configuration für das gewünschte Protokoll unter Method bei Selected Methods die Option tacacs aus, um das TACACS-Accounting zu aktivieren.

Info

Optional können die Parameter für Cmd Lvl sowie Cfg Cmd angepasst werden:

  • Cmd Lvl: Alle Befehle ab diesem Privilege-Level werden im Accounting protokolliert.
  • Exec: Dieser Parameter bewirkt, dass auch Logins im Accounting protokolliert werden.

Das Accounting kann nur für die Konfiguration per Console. Telnet und SSH aktiviert werden, nicht aber für das Webinterface.

Image Removed

1.8 Bestätigen Sie die folgende Meldung mit einem Klick auf OK.

Image Removed

None aus und klicken auf das Pfeil-Symbol, welches nach links zeigt, um dieses zu entfernen.

Methode None entfernenImage Added

1.11 Wählen Sie bei Available Methods die Option TACACS aus und klicken auf das Pfeil-Symbol, welches nach rechts zeigt, um diese hinzuzufügen.

Methode TACACS auswählen und hinzufügenImage Added

1.12 Klicken Sie auf Submit, um die Änderungen zu übernehmen.

Änderungen übernehmenImage Added

1.13 Wechseln Sie in den Reiter Accounting List und stellen sicher, dass die dfltCmdList und die dfltExecList mit den im Screenshot angegebenen Einstellungen hinterlegt sind.

Info

Sollten die Einstellungen abweichen, können Sie die Listen mit einem Klick auf das "Power-On" Symbol auf die Standard-Einstellungen zurücksetzen.

Reiter Accounting List aufrufen und die Einträge dfltCmdList und dltExecList auf Standard-Einstellungen prüfenImage Added

1.14 Wechseln Sie in den Reiter Accounting Selection und stellen sicher, dass bei Exec jeweils die dfltExecList und bei Commands jeweils die dfltCmdList hinterlegt ist.

Reiter Accounting Selection aufrufen und sicherstellen, dass Standard-Einträge der Accounting-List hier zugewiesen sind Image Added

1.15 Klicken 1.9 Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, um  Save Configuration, damit die Konfiguration als Start-Konfiguration zu speichern gespeichert wird.

Info

Die Die Start-Konfiguration bleibt  bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen.

Image RemovedKonfiguration als Start-Konfiguraton speichernImage Added

1.10 16 Bestätigen Sie die Meldung Abfrage mit einem Klick auf OK.

Abfrage mit OK bestätigenImage Modified

1.17 Die Konfigurations-Schritte auf dem Switch sind damit abgeschlossen.



2. Geräte-Konfiguration aufrufen und bearbeiten:

Info

Ein Benutzer kann entweder Privilege Level 1 oder 15 haben:

  • Privilege-Level 1: Der Benutzer hat lediglich Lese-Berechtigung.
  • Privilege-Level 15: Der Benutzer hat Lese- und Schreib-Berechtigung. Die Geräte-Konfiguration kann also nur mit einem Benutzer mit Privilege-Level 15 bearbeitet werden

In der Standard-Konfiguration sind den verschiedenen Konfigurations-Bestandteilen unterschiedliche Privilege-Level zugewiesen, wobei der Großteil der Konfiguration mit Privilege-Level 10 bearbeitet werden kann.

Das benötigte Privilege-Level für die einzelnen Konfiguratons-Bestandteile können Sie in dem Menü Security → Management → Privilege-Levels anpassen
  • .


2.1 Geräte-Konfiguration per Webinterface aufrufen und bearbeiten:

2.1.1 Geben Sie in der Anmeldemaske im Webinterface die Zugangsdaten ein und klicken auf Login:

  • Username: Geben Sie den TACACS-Benutzer ein (in diesem Beispiel TACACS-User).
  • Password: Geben Sie das Passwort für den TACACS-Benutzer ein.

Image RemovedLoginmaske vom WebinterfaceImage Added


2.1.2 Wenn Sie ein Menü mit einem Benutzer ohne das erforderliche Privilege-Level aufrufen, wird die Meldung Insufficient Privilege Level ausgegeben. Ein Zugriff auf das Menü ist dann nicht möglich. 

Image Removed

2.2 Geräte-Konfiguration per Konsole aufrufen und bearbeiten:

22.1 Geben Sie auf der Konsole den TACACS-Benutzer gefolgt von dem zugehörigen Passwort ein. 

Login auf der Konsole vom Switch mit dem TACACS-BenutzerImage Added

2.2.2 Wird ein nicht erlaubter Befehl auf dem Gerät ausgeführt, gibt dieses die Meldung Command is not Authorized aus.

Fehlermeldung auf der Konsole bei nicht autorisiertem Zugriff per TACACSImage AddedImage Removed

...

Inhalt nach Stichwort
showLabelsfalse
max5
showSpacefalse
sortcreation
titleWeitere Artikel zu diesem Thema:
excludeCurrenttrue
cqllabel = "tacacs" and space = "KB"