Description:
TACACS+ (Terminal Access Control Access Control Server) ist ein Protokoll zur Authentifizierung, Autorisierung und Accounting (AAA) von Benutzern. Es stellt den Zugang zu Netzwerkkomponenten nur für bestimmte Nutzer sicher (Authentifizierung), regelt die Berechtigungen der Benutzer (Autorisierung) und überträgt Daten für die Protokollierung der vom Benutzer vorgenommenen Konfigurations-Änderungen (Accounting). TACACS+ kann als Alternative zu anderen AAA-Protokollen wie RADIUS verwendet werden.
In diesem Artikel wird beschrieben, wie TACACS+ auf einem Access Point mit LCOS LX (LW-xxx, LX-xxxx, OW-xxx und OX-xxxx Serien) eingerichtet wird und welche Besonderheiten bei der Anmeldung beachtet werden müssen.
Requirements:
- LCOS LX ab Version 6.20 Rel (download aktuelle Version)
- LANtools ab Version 10.80 RU8 (download aktuelle Version)
- Beliebiger SSH-Client für den Zugriff per Konsole (z.B. PuTTY)
Procedure:
1. Konfigurationsschritte auf dem Access Point:
1.1 Öffnen Sie die Konfiguration des Access Points in LANconfig und wechseln in das Menü Management → Admin → TACACS+ settings.
1.2 Passen Sie die folgenden Parameter an:
- Operating: Wählen Sie im Dropdown-Menü die Option Yes aus.
- Server address: Tragen Sie die IP-Adresse des primären TACACS+-Servers ein (in diesem Beispiel 192.168.10.100).
- Server port: Stellen Sie sicher, dass der Port 49 hinterlegt ist. Sollten Sie den Port auf dem TACACS+-Server angepasst haben, muss dieser hier auf den gleichen Port gesetzt werden.
- Server secret: Tragen Sie den Secret Key, ein der zur Authentifizierung mit dem TACACS+-Server verwendet wird (in diesem Beispiel secretkey).
Bei Bedarf können Sie einen Backup-Server hinterlegen. Dieser wird verwendet, wenn der primäre TACACS+-Server nicht erreichbar ist.
1.3 Die Konfiguration von TACACS+ auf dem Access Point ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
2. Geräte-Konfiguration aufrufen und bearbeiten:
Bei Verwendung von TACACS+ wird WEBconfig deaktiviert und kann daher nicht verwendet werden.
Wird vom TACACS+-Server das Privilege-Level 15 übergeben, werden dem Benutzer "root" Rechte zugewiesen. In diesem Fall findet keine weitere Autorisierung statt. Alle anderen Privilege-Level werden ignoriert, sodass diese gleich behandelt werden. Eine Autorisierung findet hier immer statt.
2.1 Geräte-Konfiguration per LANconfig aufrufen und bearbeiten:
Sind keine Beschränkungen für den TACACS-Benutzer aktiv, kann dieser über LANconfig beliebige Änderungen durchführen. Dies unterscheidet sich von der Implementierung im LCOS, bei der die Anmeldung per LANconfig nur mit dem Benutzer "root" möglich ist.
2.1.1 Geben Sie in der Anmeldemaske in LANconfig die Zugangsdaten ein:
- Administrator: Geben Sie den TACACS-Benutzer ein (in diesem Beispiel TACACS-User).
- Password: Geben Sie das Passwort für den TACACS-Benutzer ein.
2.1.2 Bei Verwendung von TACACS+ fragt LANconfig beim Schreiben von Konfigurations-Änderungen immer nach, ob die Zugangsdaten korrekt sind. Bestätigen Sie diese Meldung mit einem Klick auf Ignore.
2.2 Geräte-Konfiguration per Konsole aufrufen und bearbeiten:
Sind keine Beschränkungen für den TACACS-Benutzer aktiv, kann dieser per Konsole beliebige Änderungen durchführen. Dies unterscheidet sich von der Implementierung im LCOS, bei der der Benutzer initial lediglich über "Read-Only" Berechtigungen verfügt und erweiterte Rechte über ein "enable" Passwort anfordern kann.
2.2.1 Geben Sie auf der Konsole den TACACS-Benutzer gefolgt von dem zugehörigen Passwort ein.
2.2.2 Wird bei einem eingeschränkten Benutzer ein nicht erlaubter Befehl ausgeführt (in diesem Beispiel ist der gesamte Setup-Baum gesperrt), wird die Meldung not allowed ausgegeben.
