Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Instalar Server Tacacs + Centos 6 + GNS3 + Cisco

    Cargado por

    sivi la
    267 vistas4 páginas
    tac

    Título original

    INSTALAR SERVER TACACS + CENTOS 6 + GNS3 + CISCO

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    tac

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    267 vistas4 páginas

    Instalar Server Tacacs + Centos 6 + GNS3 + Cisco

    Cargado por

    sivi la
    tac

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    INSTALAR CENTOS 6.

    5
    Crear Repositorio para TACACS+ PLUS

    [root@server ~]# cd /etc/yum.repos.d/


    [root@server yum.repos.d]# nano nux-misc.repo

    Agregamos las Siguientes lneas al repo

    [nux-misc]
    name=Nux Misc
    baseurl=http://li.nux.ro/download/nux/misc/el6/x86_64/
    enabled=0
    gpgcheck=1
    gpgkey=http://li.nux.ro/download/nux/RPM-GPG-KEY-nux.ro

    Ejecutamos e Instalamos TAC_PLUS

    [root@server ~]#yum --enablerepo=nux-misc install tac_plus

    Editar el Archivo de Configuracin de TACACS

    nano /etc/tacacs+/tac_plus.conf

    Deberemos modificar la clave, donde se ubicar el fichero de accounting y muy importante,


    definimos la key, la clave compartida entre el servidor Tacacs+ y los equipos que se autentican
    contra l. Como vemos en el ejemplo de abajo, hemos definido el fichero para accountig en
    /var/log/tac.acct y para la key la hemos configurado como 12345:
    Luego vamos a ver como configurar un Router Cisco para que utilicen el servidor Tacacs+ para
    AAA. Veremos tanto la parte que se configurara en los Routers, como la parte que se configurar
    en el servidor Tacacs+

    Configuracin en Router CISCO


    Entramos al modo de configuracin global y definimos la IP y Key de nuestro servidor Tacacs+:

    R1(config)#tacacs-server host 192.168.1.100


    R1(config)#tacacs-server key 12345

    Creamos un usuario local para poder utilizarlo en caso de no estar disponible el servidor Tacacs+

    R1(config)#username admin password admin


    R1(config)#enable secret cisco1

    Habilitamos la triple AAA

    R1(config)#aaa new-model
    Definimos que la autenticacin se haga por Tacacs+ y en caso de no haber servidor Tacacs+
    disponible, que se autentique mediante el usuario local. Tambin definimos que la autenticacin
    del modo enable se realice por Tacacs+:

    aaa authentication login jetblack group tacacs+ local


    aaa authentication enable default group tacacs+ enable
    aaa authorization console
    aaa authorization config-commands
    aaa authorization commands 1 default group tacacs+ none
    aaa authorization commands 15 default group tacacs+ none

    Definimos el accouting de los eventos que queramos registrar:

    aaa accounting exec default start-stop group tacacs+


    aaa accounting commands 1 default start-stop group tacacs+
    aaa accounting commands 15 default start-stop group tacacs+
    aaa accounting network default start-stop group tacacs+
    aaa accounting connection default start-stop group tacacs+
    aaa accounting system default start-stop group tacacs+

    Establecemos el mtodo de autenticacin para las lineas vty, consol y guardamos:

    line console 0
    login authentication jetblack
    exit

    line vty 0 4
    login authentication jetblack
    exit

    banner motd #Bienvenido Verificador Servidor TACACS+#


    do wr

    Con esto tendramos configurada la parte del Router Cisco, ahora pasamos a configurar en el
    servidor Tacacs+.
    Configuracin en Tacacs+
    Ahora vamos a configurar en el servidor Tacacs+ todo lo necesario para que la AAA funcione
    correctamente con el Router Cisco. Vamos a definir dos grupos, uno de ellos con privilegios
    limitados que llamaremos readonly y otro con todos los privilegios que llamaremos admins.
    En el grupo readonly definimos una serie de parmetros. Por un lado ponemos un deny por
    defecto y luego permitimos la ejecucin de una serie de comandos, en concreto se est
    permitiendo los comandos show, enable, exit:
    #Definimos el grupo de solo lectura
    group = readonly {
    default service = deny
    cmd = show {
    permit .*
    }
    cmd = enable {
    permit .*
    }
    cmd = exit {
    permit .*
    }
    }

    En el grupo admins como vamos a permitir todo, bastar con configurarle un permit por defecto:

    #Definimos el grupo de administradores con control total


    group = admins {
    default service = permit
    }

    Ahora definimos los usuarios. Hemos definido dos usuarios alondra y safiro, ha cada uno de
    ellos le hemos configurado los siguientes parmetros:

    login: Es la contrasea con la que se autenticar el usuario


    enable: es la contrasea enable para el usuario. (Recordar que en el Router configuramos que el
    modo enable se autenticara con Tacacs+)
    member: es el grupo al que pertenecer el usuario y que determinar la autorizacin del usuario
    a la hora de tener unos privilegios u otros.
    #Definimos usuarios
    user = alondra {
    member = admins
    login = cleartext admin
    }
    user = safiro {
    member = readonly
    login = cleartext 1234

    También podría gustarte