ການຕິດຕັ້ງແລະການຕັ້ງຄ່າຂອງ TACACS + ກັບ Cisco Router ເທິງ Debian 8 Jessie
ເທັກໂນໂລຢີໃນມື້ນີ້ແມ່ນເພິ່ງພາອາໄສເຄື່ອງອຸປະກອນເຄືອຂ່າຍແລະການຕັ້ງຄ່າທີ່ ເໝາະ ສົມຂອງອຸປະກອນເຄືອຂ່າຍນັ້ນ. ຜູ້ບໍລິຫານມີ ໜ້າ ທີ່ຮັບປະກັນວ່າການປ່ຽນແປງການຕັ້ງຄ່າບໍ່ພຽງແຕ່ຖືກທົດສອບຢ່າງລະອຽດກ່ອນການຈັດຕັ້ງປະຕິບັດແຕ່ຍັງມີການປ່ຽນແປງການຕັ້ງຄ່າໃດໆໂດຍບຸກຄົນທີ່ໄດ້ຮັບອະນຸຍາດໃຫ້ເຮັດການປ່ຽນແປງພ້ອມທັງໃຫ້ແນ່ໃຈວ່າການປ່ຽນແປງໄດ້ຖືກເຊັນເຂົ້າ.
ຫຼັກການດ້ານຄວາມປອດໄພນີ້ແມ່ນເອີ້ນວ່າ AAA (Triple-A) ຫຼືການກວດສອບຄວາມຖືກຕ້ອງ, ການອະນຸຍາດແລະການບັນຊີ. ມີສອງລະບົບທີ່ໂດດເດັ່ນທີ່ສະ ເໜີ ການເຮັດວຽກ AAA ສຳ ລັບຜູ້ບໍລິຫານເພື່ອຮັບປະກັນການເຂົ້າເຖິງອຸປະກອນແລະເຄືອຂ່າຍທີ່ອຸປະກອນເຫລົ່ານັ້ນຮັບໃຊ້.
RADIUS (ການບໍລິການຜູ້ໃຊ້ເຂົ້າເຖິງແບບຫ່າງໄກສອກຫຼີກແບບ Dial-In User Service) ແລະ TACACS + (Terminal Access Controller Access-Control System Plus).
Radius ຖືກ ນຳ ໃຊ້ຕາມປະເພນີເພື່ອກວດສອບຜູ້ໃຊ້ເຂົ້າເຖິງເຄືອຂ່າຍທີ່ກົງກັນຂ້າມກັບ TACACS ໃນນັ້ນ TACACS ຖືກ ນຳ ໃຊ້ເປັນປະ ຈຳ ໃນການບໍລິຫານອຸປະກອນ. ໜຶ່ງ ໃນຄວາມແຕກຕ່າງທີ່ໃຫຍ່ຫຼວງລະຫວ່າງພິທີການສອງຢ່າງນີ້ແມ່ນຄວາມສາມາດຂອງ TACACS ໃນການແຍກແຍກ AAA ອອກເປັນ ໜ້າ ທີ່ທີ່ເປັນເອກະລາດ.
ຜົນປະໂຫຍດຂອງການແຍກ TACACS ຂອງ ໜ້າ ທີ່ AAA ແມ່ນຄວາມສາມາດຂອງຜູ້ໃຊ້ໃນການປະຕິບັດ ຄຳ ສັ່ງບາງຢ່າງສາມາດຄວບຄຸມໄດ້. ນີ້ແມ່ນຂໍ້ດີຫຼາຍ ສຳ ລັບອົງກອນທີ່ຕ້ອງການໃຫ້ພະນັກງານເຄືອຂ່າຍຫຼືຜູ້ບໍລິຫານດ້ານໄອທີອື່ນໆມີສິດພິເສດທີ່ແຕກຕ່າງກັນໃນລະດັບທີ່ຫຼາກຫຼາຍ.
ບົດຂຽນນີ້ຈະຍ່າງຜ່ານການຕັ້ງລະບົບ Debian ເພື່ອເຮັດ ໜ້າ ທີ່ເປັນລະບົບ TACACS +.
<
ການຕິດຕັ້ງໂປແກຼມ TACACS + ໃນ Debian 8
ຂັ້ນຕອນ ທຳ ອິດໃນການຕັ້ງຄ່າເຊີຟເວີ TACACS ໃໝ່ ນີ້ແມ່ນການໄດ້ຮັບຊອບແວຈາກຫໍໄຕ. ສິ່ງນີ້ປະສົບຜົນ ສຳ ເລັດໄດ້ງ່າຍດ້ວຍການໃຊ້ ຄຳ ສັ່ງ ‘ເໝາະ ສົມ.
# apt-get install tacacs+
ຄໍາສັ່ງຂ້າງເທິງນີ້ຈະຕິດຕັ້ງແລະເລີ່ມຕົ້ນໃຫ້ບໍລິການເຊີຟເວີໃນພອດ 49. ນີ້ສາມາດຢືນຢັນໄດ້ໂດຍໃຊ້ຫລາຍປະໂຫຍດ.
# lsof -i :49 # netstat -ltp | grep tac
ຄຳ ສັ່ງສອງຂໍ້ນີ້ຄວນສົ່ງຄືນເສັ້ນທີ່ຊີ້ບອກວ່າ TACACS ກຳ ລັງຟັງຢູ່ທີ່ Port 49 ໃນລະບົບນີ້.
ໃນຈຸດນີ້ TACACS ແມ່ນຟັງ ສຳ ລັບການເຊື່ອມຕໍ່ໃນເຄື່ອງນີ້. ດຽວນີ້ເຖິງເວລາແລ້ວທີ່ຈະ ກຳ ນົດການບໍລິການແລະຜູ້ໃຊ້ TACACS.
ການຕັ້ງຄ່າການບໍລິການແລະຜູ້ໃຊ້ TACACS
ໂດຍທົ່ວໄປມັນເປັນຄວາມຄິດທີ່ດີທີ່ຈະຜູກມັດບໍລິການກັບທີ່ຢູ່ IP ໂດຍສະເພາະຖ້າເຄື່ອງແມ່ຂ່າຍເກີດຂື້ນມີຫລາຍທີ່ຢູ່. ເພື່ອເຮັດວຽກນີ້ໃຫ້ ສຳ ເລັດ, ຕົວເລືອກໂດເມນເລີ່ມຕົ້ນສາມາດຖືກດັດແປງເພື່ອ ກຳ ນົດທີ່ຢູ່ IP.
# nano /etc/default/tacacs+
ເອກະສານນີ້ລະບຸການຕັ້ງຄ່າ daemon ທັງ ໝົດ ທີ່ລະບົບ TACACS ຄວນເລີ່ມຕົ້ນ. ການຕິດຕັ້ງແບບເລີ່ມຕົ້ນຈະລະບຸເອກະສານການຕັ້ງຄ່າເທົ່ານັ້ນ. ໂດຍການເພີ່ມການໂຕ້ຖຽງ '-B' ໃສ່ເອກະສານນີ້, ທີ່ຢູ່ IP ສະເພາະສາມາດໃຊ້ ສຳ ລັບ TACACS ເພື່ອຟັງ.
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on
ບັນທຶກພິເສດໃນ Debian: ດ້ວຍເຫດຜົນບາງຢ່າງທີ່ພະຍາຍາມທີ່ຈະເລີ່ມການບໍລິການ TACACS + ເພື່ອອ່ານຕົວເລືອກ daemon ໃໝ່ ແມ່ນບໍ່ປະສົບຜົນ ສຳ ເລັດ (ຜ່ານການບໍລິການ tacacs_plus restart).
ບັນຫາຢູ່ທີ່ນີ້ເບິ່ງຄືວ່າເມື່ອ TACACS ເລີ່ມຕົ້ນຜ່ານ script init, PID ຕັ້ງເປັນ "PIDFILE =/var/run/tac_plus.pid" ຢ່າງໃດກໍ່ຕາມເມື່ອ "-B XXXX" ຖືກລະບຸເປັນຕົວເລືອກ daemon, ຊື່ ຂອງເອກະສານຂໍ້ມູນຖືກປ່ຽນເປັນ“ /var/run/tac_plus.pid.XXXX”.
ຂ້ອຍບໍ່ແນ່ໃຈຢ່າງແນ່ນອນວ່າມັນເປັນຂໍ້ບົກພ່ອງຫລືບໍ່ແຕ່ເພື່ອຕໍ່ສູ້ກັບສະຖານະການຊົ່ວຄາວ, ຄົນເຮົາສາມາດຕັ້ງ PIDFILE ດ້ວຍຕົນເອງໃນຂໍ້ລິເລີ່ມ init ໂດຍການປ່ຽນເສັ້ນໄປທີ່“ PIDFILE =/var/run/tac_plus.pid.XXXX” ບ່ອນທີ່ XXXX ແມ່ນທີ່ຢູ່ IP ທີ່ TACACS ຄວນຟັງແລະຈາກນັ້ນເລີ່ມຕົ້ນການບໍລິການດ້ວຍ:
# service tacacs_plus start
ເມື່ອເລີ່ມການບໍລິການ ໃໝ່, ຄຳ ສັ່ງ lsof ສາມາດຖືກ ນຳ ໃຊ້ອີກເທື່ອ ໜຶ່ງ ເພື່ອຢືນຢັນວ່າບໍລິການ TACACS ກຳ ລັງຟັງຢູ່ IP address ທີ່ຖືກຕ້ອງ.
# lsof -i :49
ດັ່ງທີ່ໄດ້ເຫັນຂ້າງເທິງ, TACACS ກຳ ລັງຟັງທີ່ຢູ່ IP ຢູ່ IP address ສະເພາະຕາມທີ່ ກຳ ນົດໄວ້ໃນເອກະສານ Default TACACS ຂ້າງເທິງ. ໃນຈຸດນີ້ຜູ້ໃຊ້ແລະຊຸດ ຄຳ ສັ່ງສະເພາະ ຈຳ ເປັນຕ້ອງຖືກສ້າງຂື້ນ.
ຂໍ້ມູນນີ້ຖືກຈັດການໂດຍເອກະສານອື່ນ: '/etc/tacacs+/tac_plus.conf'. ເປີດເອກະສານນີ້ກັບບັນນາທິການຕົວ ໜັງ ສືເພື່ອແກ້ໄຂທີ່ ເໝາະ ສົມ.
# nano /etc/tacacs+/tac_plus.conf
ເອກະສານນີ້ແມ່ນບ່ອນທີ່ທຸກສະເພາະຂອງ TACACS ຄວນອາໃສຢູ່ (ສິດຂອງຜູ້ໃຊ້, ລາຍການຄວບຄຸມການເຂົ້າເຖິງ, ປຸ່ມໂຮດແລະອື່ນໆ). ສິ່ງ ທຳ ອິດທີ່ຕ້ອງໄດ້ສ້າງແມ່ນກຸນແຈ ສຳ ລັບອຸປະກອນເຄືອຂ່າຍ.
ມີຄວາມຍືດຍຸ່ນຫຼາຍໃນຂັ້ນຕອນນີ້. ລະຫັດດຽວສາມາດຕັ້ງຄ່າໄດ້ ສຳ ລັບອຸປະກອນເຄືອຂ່າຍທັງ ໝົດ ຫລືຫລາຍປຸ່ມສາມາດຕັ້ງຄ່າໄດ້ຕໍ່ອຸປະກອນໃດ ໜຶ່ງ. ຕົວເລືອກແມ່ນຂຶ້ນກັບຜູ້ໃຊ້ແຕ່ ຄຳ ແນະ ນຳ ນີ້ຈະໃຊ້ກຸນແຈດຽວ ສຳ ລັບຄວາມລຽບງ່າຍ.
key = "super_secret_TACACS+_key"
ເມື່ອກະແຈໄດ້ຖືກ ກຳ ນົດແລ້ວ, ຄວນສ້າງກຸ່ມຕ່າງໆທີ່ ກຳ ນົດສິດອະນຸຍາດທີ່ຜູ້ໃຊ້ຈະຖືກມອບ ໝາຍ ໃນພາຍຫລັງ. ການສ້າງກຸ່ມເຮັດໃຫ້ການແລກປ່ຽນສິດອະນຸຍາດງ່າຍຂຶ້ນ. ຂ້າງລຸ່ມນີ້ແມ່ນຕົວຢ່າງຂອງການມອບສິດໃຫ້ຜູ້ເບິ່ງແຍງລະບົບເຕັມຮູບແບບ.
group = admins { default service = permit service = exec { priv-lvl = 15 } }
<
ຕອນນີ້ຜູ້ໃຊ້ຕ້ອງໄດ້ຮັບການມອບ ໝາຍ ໃຫ້ກຸ່ມ admin.
user = rob { member = admins login = des mjth124WPZapY }
<
ສິ່ງ ສຳ ຄັນ: ໂດຍທົ່ວໄປແລ້ວມັນເປັນການປະຕິບັດທີ່ດີທີ່ສຸດໃນການໃສ່ລະຫັດລັບເຂົ້າໄປໃນເອກະສານນີ້ແທນທີ່ຈະແມ່ນຂໍ້ຄວາມ ທຳ ມະດາເພາະມັນເພີ່ມຄວາມປອດໄພ ໜ້ອຍ ໜຶ່ງ ໃນກໍລະນີທີ່ຜູ້ໃດຜູ້ ໜຶ່ງ ຄວນອ່ານເອກະສານນີ້ແລະບໍ່ ຈຳ ເປັນຕ້ອງເຂົ້າເຖິງມັນ.
ມາດຕະການປ້ອງກັນທີ່ດີ ສຳ ລັບສິ່ງນີ້ແມ່ນຢ່າງ ໜ້ອຍ ກໍ່ແມ່ນການ ກຳ ຈັດການເຂົ້າເຖິງການອ່ານຂອງໂລກໃນເອກະສານການຕັ້ງຄ່າເຊັ່ນດຽວກັນ. ສິ່ງນີ້ສາມາດ ສຳ ເລັດໄດ້ໂດຍຜ່ານ ຄຳ ສັ່ງຕໍ່ໄປນີ້:
# chmod o-r /etc/tacacs+/tac_plus.conf # service tacacs_plus reload
ໃນຈຸດນີ້ຝ່າຍ server ແມ່ນກຽມພ້ອມ ສຳ ລັບການເຊື່ອມຕໍ່ຈາກອຸປະກອນເຄືອຂ່າຍ. ຂໍໃຫ້ຫັນໄປຫາ Cisco ດຽວນີ້ແລະຕັ້ງຄ່າມັນເພື່ອສື່ສານກັບເຊີຟເວີ Debian TACACS + ນີ້.