Beschreibung:
TACACS+ (Terminal Access Control Access Control Server) ist ein Protokoll zur Authentifizierung, Autorisierung und Accounting (AAA) von Benutzern. Es stellt den Zugang zu Netzwerkkomponenten nur für bestimmte Nutzer sicher (Authentifizierung), regelt die Berechtigungen der Benutzer (Autorisierung) und überträgt Daten für die Protokollierung der Netzwerknutzung (Accounting). TACACS+ kann als Alternative zu anderen AAA-Protokollen wie RADIUS verwendet werden.
In diesem Artikel wird beschrieben, wie TACACS+ auf einem Access Point oder Router mit LCOS eingerichtet wird und welche Besonderheiten bei der Anmeldung beachtet werden müssen.
Voraussetzungen:
- LCOS ab Version 9.24 (download aktuelle Version)
- LANtools ab Version 9.24 (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff per WEBconfig
- Beliebiger SSH-Client für den Zugriff per Konsole (z.B. PuTTY)
Vorgehensweise:
1. Konfigurationsschritte auf dem Access Point / Router:
TACACS+ kann zwar auch per LANconfig oder das Konfigurations-Menü in WEBconfig eingerichtet werden, dabei wird aber nur die Authentifizierung aktiviert. Die Authorisierung sowie das Accounting können nur per Konsole oder im LCOS-Menübaum in WEBconfig aktiviert werden. Aus diesem Grund ist es sinnvoll, TACACS+ gänzlich per Konsole einzurichten.
Eine bestehende Konsolen-Sitzung wird durch die Konfiguration von TACACS+ nicht beendet. Dadurch können die Befehle einzeln gesetzt werden, ohne dass Gefahr besteht, sich vom Gerät auszusperren.
1.1 Verbinden Sie sich per Konsole mit dem Gerät und geben den Befehl zum Hinzufügen eines TACACS+-Servers im Format add Setup/TACACS+/Server/ {Server-Address} <IP-Addresse oder DNS-Name des TACACS+-Servers> ein.
1.2 Geben Sie den Befehl zum Setzen des Secret-Keys im Format set Setup/TACACS+/Shared-Secret <Secret-Key> ein. Der Secret-Key wird zur Authentifizierung des Gerätes am TACACS+-Server verwendet.
1.3 Geben Sie zum Aktivieren der Authorisierung und des Accounting die folgenden Befehle ein. Die Authorisierung und das Accounting sind optional.
set Setup/TACACS+/Authorisation activated
set Setup/TACACS+/Accounting activated
1.4 Geben Sie abschließend den Befehl set Setup/Config/Authentication TACACS+ ein, damit für die Authentifizierung am Gerät TACACS+ verwendet wird.
Wichtige TACACS+-Parameter
Setup/Tacacs+/Fallback-to-local-users
Der Parameter Fallback-to-local-users steuert, ob ein Fallback auf die lokalen Benutzer erfolgt, wenn der/die TACACS+-Server nicht erreichbar sind. In der Standard-Konfiguration ist der Fallback erlaubt (allowed).
Authorisation-Type
Der Parameter Authorisation-Type steuert, ob jeder Konsolen-Befehl einzeln autorisiert wird (Commands) oder ob der Zugriff einmalig komplett autorisiert wird (Shell). In der Standard-Konfiguration wird jeder Konsolen-Befehl einzeln autorisiert.
2. Geräte-Konfiguration aufrufen und bearbeiten:
2.1 Geräte-Konfiguration per LANconfig aufrufen und bearbeiten:
Die Konfiguration des Gerätes kann per LANconfig nur mit dem Benutzer root geöffnet werden (der Benutzer root verfügt über Supervisor Rechte). Auf dem TACACS+-Server muss daher der Benutzer root mit entsprechenden Berechtigungen hinterlegt werden.
Wird neben der Authentifizierung auch die Authorisierung verwendet, müssen für den Benutzer root auch die Befehle readconfig und writeconfig erlaubt werden.
Geben Sie in der Anmeldemaske in LANconfig die Zugangsdaten ein:
- Administrator: Geben Sie root ein. Im Gegensatz zur regulären Anmeldung wird bei Verwendung von TACACS+ nicht implizit der Benutzer root verwendet, weshalb dieser manuell eingetragen werden muss.
- Passwort: Geben Sie das Passwort für den Benutzer root ein.
2.2 Geräte-Konfiguration per WEBconfig aufrufen und bearbeiten:
Wird die Konfiguration des Gerätes per WEBconfig mit einem normalen Benutzer aufgerufen (nicht mit dem Benutzer root), erhält der Benutzer initial lediglich Read-Only Rechte. Es können also keine Befehle ausgeführt werden. Damit der Benutzer erweiterte Berechtigungen erlangen kann, muss auf dem TACACS-Server dem Benutzer oder der Gruppe ein "enable" Passwort zugewiesen werden.
2.2.1 Geben Sie bei Name den TACACS-Benutzer ein und klicken auf Login.
2.2.2 Tragen Sie bei Nachricht an den TACACS+ Server das Passwort des TACACS-Benutzers ein und klicken auf Login.
2.2.3 Wechseln Sie in das Menü Extras → Rechteniveau wechseln. Wählen Sie das gewünschte Rechteniveau aus und geben das "enable" Passwort ein. Klicken Sie anschließend auf Niveau wechseln.
2.3 Geräte-Konfiguration per Konsole aufrufen und bearbeiten:
2.3.1 Geräte-Konfiguration per Konsole aufrufen und bearbeiten mit aktiver Authentifizierung:
Wird die Konfiguration des Gerätes per Konsole mit einem normalen Benutzer aufgerufen (nicht mit dem Benutzer root), erhält der Benutzer initial lediglich Read-Only Rechte. Es können also keine Befehle ausgeführt werden. Damit der Benutzer erweiterte Berechtigungen erlangen kann, muss auf dem TACACS-Server dem Benutzer oder der Gruppe ein "enable" Passwort zugewiesen werden.
2.3.1.1 Geben Sie auf der Konsole den TACACS-Benutzer gefolgt von dem zugehörigen Passwort ein.
2.3.1.2 Geben Sie den Befehl enable ein gefolgt von dem "enable" Passwort.
2.3.2 Geräte-Konfiguration per Konsole aufrufen und bearbeiten mit aktiver Authentifizierung und Authorisierung:
Bei aktiver Authorisierung müssen alle Befehle, die auf dem Gerät ausgeführt werden sollen explizit im TACACS+-Server hinterlegt werden.
Die erlaubten Befehle und Argumente finden Sie auf der folgenden Seite im Referenzhandbuch:
Wird ein nicht erlaubter Befehl auf dem Gerät ausgeführt, gibt dieses die Meldung Command execution prohibited by TACACS+ aus,
3. Rechtezuweisung unter TACACS+:
Die Rechte unter TACACS+ werden in bestimmten Leveln angegeben. Zur lokalen Authorisierung der Benutzer über das “enable”-Kommando auf der Konsole bzw. das Rechteniveau unter WEBconfig werden die verschiedenen Admistratorenrechte von LCOS auf die TACACS+-Level abgebildet:
| TACACS+-Level | Administratorenrechte |
|---|---|
| 0 | No rights |
| 1 | Read-Only |
| 3 | Read-Write |
| 5 | Read-Only-Limited-Admin |
| 7 | Read-Write-Limited-Admin |
| 9 | Read-Only Admin |
| 11 | Read-Write Admin |
| 15 | Supervisor (Root) |
