Beschreibung:
TACACS+ (Terminal Access Control Access Control Server) ist ein Protokoll zur Authentifizierung, Autorisierung und Accounting (AAA) von Benutzern. Es stellt den Zugang zu Netzwerkkomponenten nur für bestimmte Nutzer sicher (Authentifizierung), regelt die Berechtigungen der Benutzer (Autorisierung) und überträgt Daten für die Protokollierung der vom Benutzer vorgenommenen Konfigurations-Änderungen (Accounting). TACACS+ kann als Alternative zu anderen AAA-Protokollen wie RADIUS verwendet werden.
In diesem Artikel wird beschrieben, wie TACACS+ auf einem Switch der XS-51xx / XS-61xx und GS-45xx Serie eingerichtet wird und welche Besonderheiten bei der Anmeldung beachtet werden müssen.
Voraussetzungen:
- LCOS SX ab Version 5.20 RU10 (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff per Webinterface
Vorgehensweise:
1. Konfigurationsschritte auf dem Switch:
1.1 Verbinden Sie sich per Webinterface mit dem Switch und wechseln in das Menü Security → TACACS+ → Server Summary.
1.2 Klicken Sie auf Add, um einen Eintrag für einen Server zu erstellen.
1.3 Passen Sie die folgenden Parameter an und klicken auf Submit:
- Server: Tragen Sie die IP-Adresse oder den DNS-Namen des TACACS+-Servers ein (in diesem Beispiel 192.168.1.100).
- Port: Passen Sie den Port bei Bedarf an. In diesem Beispiel wird der Standard-Port 49 verwendet.
- Key String: Tragen Sie den Secret Key ein. Der Secret Key wird zur Authentifizierung des Gerätes am TACACS+-Server verwendet.
1.4 Wechseln Sie in das Menü System → AAA → Authentication List.
1.5 Wählen Sie das gewünschte Protokoll aus (in diesem Beispiel HTTPS mit der httpslist) und klicken auf Edit, um weitere Einstellungen vorzunehmen.
Die folgenden Schritte gelten analog für die Protokolle HTTP (httplist) und Telnet bzw. SSH (networklist).
1.6 Wählen Sie bei Selected Methods die Option Local aus und klicken auf das Pfeil-Symbol, welches nach links zeigt, um dieses zu entfernen.
1.7 Wählen Sie bei gedrückter <STRG> Taste bei Available Methods nacheinander die Optionen TACACS und Local aus und klicken auf das Pfeil-Symbol, welches nach rechts zeigt, um diese hinzuzufügen.
Die Methoden bei Selected Methods werden der Reihe nach durchlaufen. Daher muss zuerst TACACS und danach Local hinterlegt werden. Ist der TACACS+-Server nicht erreichbar, erfolgt ein Fallback auf die lokale Benutzer-Tabelle.
1.8 Klicken Sie auf Submit, um die Änderungen zu übernehmen.
1.9 Wechseln Sie in den Reiter Authorization List und wählen die Liste dfltCmdAuthList aus. Klicken Sie anschließend auf Edit, um weitere Einstellungen vorzunehmen.
Die Autorisierung kann nur für die Konfiguration per Console. Telnet und SSH aktiviert werden, nicht aber für das Webinterface.
1.10 Wählen Sie bei Selected Methods die Option None aus und klicken auf das Pfeil-Symbol, welches nach links zeigt, um dieses zu entfernen.
1.11 Wählen Sie bei Available Methods die Option TACACS aus und klicken auf das Pfeil-Symbol, welches nach rechts zeigt, um diese hinzuzufügen.
1.12 Klicken Sie auf Submit, um die Änderungen zu übernehmen.
1.7 Wählen Sie unter Accounting Method Configuration für das gewünschte Protokoll unter Method die Option tacacs aus, um das TACACS-Accounting zu aktivieren.
Das Accounting kann nur für die Konfiguration per Console. Telnet und SSH aktiviert werden, nicht aber für das Webinterface.
1.9 Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, um die Konfiguration als Start-Konfiguration zu speichern.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.
1.10 Bestätigen Sie die Meldung mit einem Klick auf OK.
2. Geräte-Konfiguration aufrufen und bearbeiten:
Die Geräte-Konfiguration kann nur mit einem Benutzer mit Privilege-Level 15 bearbeitet werden.
2.1 Geräte-Konfiguration per Konsole aufrufen und bearbeiten:
2.1.1 Geben Sie auf der Konsole den TACACS-Benutzer gefolgt von dem zugehörigen Passwort ein.
2.1.2
