Beschreibung:
TACACS+ (Terminal Access Control Access Control Server) ist ein Protokoll zur Authentifizierung, Autorisierung und Accounting (AAA) von Benutzern. Es stellt den Zugang zu Netzwerkkomponenten nur für bestimmte Nutzer sicher (Authentifizierung), regelt die Berechtigungen der Benutzer (Autorisierung) und überträgt Daten für die Protokollierung der vom Benutzer vorgenommenen Konfigurations-Änderungen (Accounting). TACACS+ kann als Alternative zu anderen AAA-Protokollen wie RADIUS verwendet werden.
In diesem Artikel wird beschrieben, wie TACACS+ auf einem Switch der GS-3xxx Serie eingerichtet wird und welche Besonderheiten bei der Anmeldung beachtet werden müssen.
Voraussetzungen:
- LCOS SX ab Version 4.30 RU4 (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff per Webinterface
Vorgehensweise:
1. Konfigurationsschritte auf dem Switch:
1.1 Verbinden Sie sich per Webinterface mit dem Switch und wechseln in das Menü Security → TACACS+.
1.2 Klicken Sie unter Server Configuration auf Add New Server.
1.3 Passen Sie die folgenden Parameter an und klicken auf Apply:
- Hostname: Tragen Sie die IP-Adresse oder den DNS-Namen des TACACS+-Servers ein (in diesem Beispiel 192.168.1.100).
- Port: Passen Sie den Port bei Bedarf an. In diesem Beispiel wird der Standard-Port 49 verwendet.
- Timeout: Belassen Sie den Timeout auf dem Standard-Wert.
- Change Secret Key: Tragen Sie den Secret Key ein. Der Secret Key wird zur Authentifizierung des Gerätes am TACACS+-Server verwendet.
1.4 Wechseln Sie in das Menü Security → Management → Auth Method.
1.5 Wählen Sie für die gewünschten Management-Protokolle (Client) unter Methods als erste Option tacacs aus. Wählen Sie als zweite Option local aus, damit ein Fallback auf die lokale Benutzer-Tabelle erfolgt, wenn der/die TACACS+-Server nicht erreichbar sind.
1.6 Wählen Sie unter Command Authorization Method Configuration für das gewünschte Protokoll unter Method die Option tacacs aus, um die TACACS-Autorisierung zu aktivieren.
Optional können die Parameter für Cmd Lvl sowie Cfg Cmd angepasst werden:
- Cmd Lvl: Alle Befehle ab diesem Privilege-Level müssen autorisiert werden.
- Cfg Cmd: Dieser Parameter bewirkt, dass auch Befehle zur Konfiguration autorisiert werden.
1.7 Wählen Sie unter Accounting Method Configuration für das gewünschte Protokoll unter Method die Option tacacs aus, um das TACACS-Accounting zu aktivieren.
Optional können die Parameter für Cmd Lvl sowie Cfg Cmd angepasst werden:
- Cmd Lvl: Alle Befehle ab diesem Privilege-Level werden im Accounting protokolliert.
- Exec: Dieser Parameter bewirkt, dass auch Logins im Accounting protokolliert werden.
1.8 Bestätigen Sie die folgende Meldung mit einem Klick auf OK.
1.9 Wechseln Sie anschließend in das Menü Maintenance → Save/Restore → Save Start und klicken auf Save, um die Konfiguration als Start-Konfiguration zu speichern.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.
2. Geräte-Konfiguration aufrufen und bearbeiten:
In der Standard-Konfiguration ist die Anpassung aller Konfigurations-Bestandteile nur mit Privilege-Level 15 möglich. Mit einem anderen Privilege-Level kann die Konfiguration per Webinterface zwar ausgelesen aber keine Änderung vorgenommen werden (die Schaltfläche Apply ist ausgegraut). Per Konsole können zwar die übergeordneten Konfigurations-Pfade aufgerufen werden (z.B. LMC), es ist aber nicht möglich, die Konfiguration auszulesen oder anzupassen.
Das benötigte Privilege-Level für die einzelnen Konfiguratons-Bestandteile können Sie in dem Menü System → Account → Privilege-Level anpassen.
2.1 Geräte-Konfiguration per Webinterface aufrufen und bearbeiten:
Geben Sie in der Anmeldemaske im Webinterface die Zugangsdaten ein und klicken auf Login:
- Username: Geben Sie den TACACS-Benutzer ein (in diesem Beispiel TACACS-User).
- Password: Geben Sie das Passwort für den TACACS-Benutzer ein.
2.2 Geräte-Konfiguration per Konsole aufrufen und bearbeiten:
Geben Sie auf der Konsole den TACACS-Benutzer gefolgt von dem zugehörigen Passwort ein.
