Description:
TACACS+ (Terminal Access Control Access Control Server) ist ein Protokoll zur Authentifizierung, Autorisierung und Accounting (AAA) von Benutzern. Es stellt den Zugang zu Netzwerkkomponenten nur für bestimmte Nutzer sicher (Authentifizierung), regelt die Berechtigungen der Benutzer (Autorisierung) und überträgt Daten für die Protokollierung der vom Benutzer vorgenommenen Konfigurations-Änderungen (Accounting). TACACS+ kann als Alternative zu anderen AAA-Protokollen wie RADIUS verwendet werden.
In diesem Artikel wird beschrieben, wie TACACS+ auf einem Switch der XS-51xx / XS-61xx und GS-45xx Serie eingerichtet wird und welche Besonderheiten bei der Anmeldung beachtet werden müssen.
Requirements:
- LCOS SX ab Version 5.20 RU10 (download latest version)
- Beliebiger Web-Browser für den Zugriff per Webinterface
Procedure:
1. Konfigurationsschritte auf dem Switch:
1.1 Verbinden Sie sich per Webinterface mit dem Switch und wechseln in das Menü Security → TACACS+ → Server Summary.
1.2 Klicken Sie auf Add, um einen Eintrag für einen Server zu erstellen.
1.3 Passen Sie die folgenden Parameter an und klicken auf Submit:
- Server: Tragen Sie die IP-Adresse oder den DNS-Namen des TACACS+-Servers ein (in diesem Beispiel 192.168.1.100).
- Port: Passen Sie den Port bei Bedarf an. In diesem Beispiel wird der Standard-Port 49 verwendet.
- Key String: Tragen Sie den Secret Key ein. Der Secret Key wird zur Authentifizierung des Gerätes am TACACS+-Server verwendet.
Optional können weitere Einträge für TACACS+-Server hinterlegt werden. Diese fungieren als Backup, falls der erste Server nicht erreichbar ist. Es können bis zu fünf TACACS+-Server hinterlegt werden.
1.4 Wechseln Sie in das Menü System → AAA → Authentication List.
1.5 Wählen Sie das gewünschte Protokoll aus (in diesem Beispiel HTTPS mit der httpslist) und klicken auf Edit, um weitere Einstellungen vorzunehmen.
Die folgenden Schritte gelten analog für die Protokolle HTTP (httplist) und Telnet bzw. SSH (networklist).
1.6 Wählen Sie bei Selected Methods die Option Local aus und klicken auf das Pfeil-Symbol, welches nach links zeigt, um dieses zu entfernen.
1.7 Wählen Sie bei gedrückter <STRG> Taste bei Available Methods nacheinander die Optionen TACACS und Local aus und klicken auf das Pfeil-Symbol, welches nach rechts zeigt, um diese hinzuzufügen.
Die Methoden bei Selected Methods werden der Reihe nach durchlaufen. Daher muss zuerst TACACS und danach Local hinterlegt werden. Ist der TACACS+-Server nicht erreichbar, erfolgt ein Fallback auf die lokale Benutzer-Tabelle.
1.8 Klicken Sie auf Submit, um die Änderungen zu übernehmen.
1.9 Wechseln Sie in den Reiter Authorization List und wählen die Liste dfltCmdAuthList aus. Klicken Sie anschließend auf Edit, um weitere Einstellungen vorzunehmen.
Die Autorisierung kann nur für die Konfiguration per Console. Telnet und SSH aktiviert werden, nicht aber für das Webinterface.
Wenn Sie die Schritte 1.10 bis 1.12 auch für die dfltExecAuthList ausführen, erfolgt die Anmeldung mit erweiterten Rechten. Die erweiterten Rechte müssen also nicht extra über den Befehl Enable angefordert werden.
1.10 Wählen Sie bei Selected Methods die Option None aus und klicken auf das Pfeil-Symbol, welches nach links zeigt, um dieses zu entfernen.
1.11 Wählen Sie bei Available Methods die Option TACACS aus und klicken auf das Pfeil-Symbol, welches nach rechts zeigt, um diese hinzuzufügen.
1.12 Klicken Sie auf Submit, um die Änderungen zu übernehmen.
1.13 Wechseln Sie in den Reiter Accounting List und stellen sicher, dass die dfltCmdList und die dfltExecList mit den im Screenshot angegebenen Einstellungen hinterlegt sind.
Sollten die Einstellungen abweichen, können Sie die Listen mit einem Klick auf das "Power-On" Symbol auf die Standard-Einstellungen zurücksetzen.
1.14 Wechseln Sie in den Reiter Accounting Selection und stellen sicher, dass bei Exec jeweils die dfltExecList und bei Commands jeweils die dfltCmdList hinterlegt ist.
1.15 Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.
Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen.
1.16 Bestätigen Sie die Abfrage mit einem Klick auf OK.
1.17 Die Konfigurations-Schritte auf dem Switch sind damit abgeschlossen.
2. Geräte-Konfiguration aufrufen und bearbeiten:
Ein Benutzer kann entweder Privilege Level 1 oder 15 haben:
- Privilege-Level 1: Der Benutzer hat lediglich Lese-Berechtigung.
- Privilege-Level 15: Der Benutzer hat Lese- und Schreib-Berechtigung. Die Geräte-Konfiguration kann also nur mit einem Benutzer mit Privilege-Level 15 bearbeitet werden.
2.1 Geräte-Konfiguration per Webinterface aufrufen und bearbeiten:
Geben Sie in der Anmeldemaske im Webinterface die Zugangsdaten ein und klicken auf Login:
- Username: Geben Sie den TACACS-Benutzer ein (in diesem Beispiel TACACS-User).
- Password: Geben Sie das Passwort für den TACACS-Benutzer ein.
2.2 Geräte-Konfiguration per Konsole aufrufen und bearbeiten:
22.1 Geben Sie auf der Konsole den TACACS-Benutzer gefolgt von dem zugehörigen Passwort ein.
2.2.2 Wird ein nicht erlaubter Befehl auf dem Gerät ausgeführt, gibt dieses die Meldung Command is not Authorized aus.
