Beschreibung:
TACACS+ (Terminal Access Control Access Control Server) ist ein Protokoll zur Authentifizierung, Autorisierung und Accounting (AAA) von Benutzern. Es stellt den Zugang zu Netzwerkkomponenten nur für bestimmte Nutzer sicher (Authentifizierung), regelt die Berechtigungen der Benutzer (Autorisierung) und überträgt Daten für die Protokollierung der Netzwerknutzung (Accounting). TACACS+ kann als Alternative zu anderen AAA-Protokollen wie RADIUS verwendet werden.
In diesem Artikel wird beschrieben, wie TACACS+ auf einem Access Point oder Router mit LCOS eingerichtet wird und welche Besonderheiten bei der Anmeldung beachtet werden müssen.
Voraussetzungen:
- LCOS ab Version 9.24 (download aktuelle Version)
- LANtools ab Version 9.24 (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff per WEBconfig
- Beliebiger SSH-Client für den Zugriff per Konsole (z.B. PuTTY)
Vorgehensweise:
1. Konfigurationsschritte auf dem Access Point / Router:
1. Wechseln Sie in der Geräte-Konfiguration in das Menü Management → Authentifizierung und wählen im Dropdown-Menü bei Authentifizierung via die Option TACACS+ aus.
2. Passen Sie im Abschnitt TACACS+-Authentifizierung die folgenden Parameter an:
- Verschlüsselung: Stellen Sie sicher, dass die Option Aktiviert ausgewählt ist.
- Passwort: Tragen Sie den Secret-Key ein, der zur Authentifizierung beim TACACS+-Server verwendet wird.
3. Wechseln Sie in das Menü TACACS+-Server.
4. Tragen Sie bei Server-Adresse die IP-Adresse oder den DNS-Namen des TACACS+-Servers ein.
Aktivieren Sie bei Bedarf den Kompatbilitäts-Modus, wenn der verwendete TACACS+-Server dies erfordert.
5. Die Konfiguration von TACACS+ im Access Point / Router ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
6.
2. Geräte-Konfiguration aufrufen und bearbeiten:
2.1 Geräte-Konfiguration per LANconfig aufrufen und bearbeiten:
Die Konfiguration des Gerätes kann per LANconfig nur mit dem Benutzer root geöffnet werden (der Benutzer root verfügt über Supervisor Rechte). Auf dem TACACS-Server muss daher der Benutzer root mit entsprechenden Berechtigungen hinterlegt werden.
Wird neben der Authentifizierung auch die Authorisierung verwendet, müssen für den Benutzer root auch die Befehle readconfig und writeconfig erlaubt werden.
Geben Sie in der Anmeldemaske in LANconfig die Zugangsdaten ein:
- Administrator: Geben Sie root ein. Im Gegensatz zur regulären Anmeldung wird bei Verwendung von TACACS+ nicht implizit der Benutzer root verwendet, weshalb dieser eingetragen werden muss.
- Passwort: Geben Sie das Passwort für den Benutzer root ein.
2.2 Geräte-Konfiguration per WEBconfig aufrufen und bearbeiten:
Wird die Konfiguration des Gerätes per WEBconfig mit einem normalen Benutzer aufgerufen (nicht mit dem Benutzer root), erhält der Benutzer initial lediglich Read-Only Rechte. Es können also keine Befehle ausgeführt werden. Damit der Benutzer erweiterte Berechtigungen erlangen kann, muss auf dem TACACS-Server dem Benutzer oder der Gruppe ein "enable" Passwort zugewiesen werden.
2.2.1 Geben Sie bei Name den TACACS-Benutzer ein und klicken auf Login.
2.2.2 Tragen Sie bei Nachricht an den TACACS+ Server das Passwort des TACACS-Benutzers ein und klicken auf Login.
2.2.3 Wechseln Sie in das Menü Extras → Rechteniveau wechseln. Wählen Sie das gewünschte Rechteniveau aus und geben das "enable" Passwort ein. Klicken Sie anschließend auf Niveau wechseln.
2.3 Geräte-Konfiguration per Konsole aufrufen und bearbeiten:
Wird die Konfiguration des Gerätes per Konsole mit einem normalen Benutzer aufgerufen (nicht mit dem Benutzer root), erhält der Benutzer initial lediglich Read-Only Rechte. Es können also keine Befehle ausgeführt werden. Damit der Benutzer erweiterte Berechtigungen erlangen kann, muss auf dem TACACS-Server dem Benutzer oder der Gruppe ein "enable" Passwort zugewiesen werden.
2.3.1 Geben Sie auf der Konsole den TACACS-Benutzer gefolgt von dem zugehörigen Passwort ein.
2.3.2 Geben Sie den Befehl enable ein gefolgt von dem "enable" Passwort.
3. Rechtezuweisung unter TACACS+:
Die Rechte unter TACACS+ werden in bestimmten Leveln angegeben. Zur lokalen Authorisierung der Benutzer über das “enable”-Kommando auf der Konsole bzw. das Rechteniveau unter WEBconfig werden die verschiedenen Admistratorenrechte von LCOS auf die TACACS+-Level abgebildet:
TACACS+-Level | Administratorenrechte |
---|---|
0 | No rights |
1 | Read-Only |
3 | Read-Write |
5 | Read-Only-Limited-Admin |
7 | Read-Write-Limited-Admin |
9 | Read-Only Admin |
11 | Read-Write Admin |
15 | Supervisor (Root) |