TACACS+: Difference between revisions

Autor

Margus Kurnikov AK21

Sissejuhatus

TACACS+ (Terminal Access Controller Access-Control System Plus) on võrguseadmete ligipääsukontrolli protokoll, mis hõlmab endas nii autentimise, autoriseerimise kui ka aruandluse teenuseid. Andmevahetuseks kasutatakse TCP porti 49.
Erinevalt RADIUS'st, mis on TACACS+ alternatiiv, eristab viimast autoriseerimise funktsionaalsuse lahutamine, mis võimaldab paindlikumat ligipääsukontrolli - kes võib käivitada käske, milliseid käske, millises seadmes. Iga kasutaja poolt sisestatud käsk saadetakse kesksesse TACACS+ serverisse autoriseerimiseks, kus kontrollitakse, kas vastavat käsku on lubatud käivitada konkreetsel kasutajal või grupil. TACACS+ on võimalik luua käskude käivitamisele näiteks kasutaja-, seadme-, või ajapõhiseid reegleid.
TACACS+ protokolli tugi on olemas levinud suuremate tootjate võrguseadmetes - Cisco, Juniper/Netscreen, HP, Alcatel/Lucent, Ericsson jt.

Paigaldamine

TACACS+ teenus paigaldatud Ubuntu 12.04-le.
Testitava ruuterina kasutusel Cisco 1812.

TACACS+ teenuse paigaldus:

apt-get install tacacs+

Teenuse seadistamine

TACACS+ konfiguratsioonifaili asukoht:

/etc/tacacs+/tac_plus.conf

Konfiguratsioonifaili manual:

man tac_plus.conf

Aruandluse logifail:

/var/log/tac_plus.acct

Kasutajate autentimist on võimalik tac_plus's seadistada kolmel moel:

• Autentimine lokaalse passwd faili alusel - /etc/passwd
• Autentimine /etc/tac_plus/tac_plus.conf faili konfigureeritud paroolidega
• Autentimine PAM-ga LDAP serveri pihta
  

Käsitlen kahte esimest varianti:

Autentimine passwd failiga