Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tacacs PDF
Tacacs PDF
Presentado a :
ING. JEAN POLO CEQUEDA OLAGO
/usr/sbin/tac_plus (ejecutable)
El Daemon se instalará con el nombre tacacs, por lo tanto para iniciar, parar o reiniciar
el servicio bastaría con:
group = administrators {
default service = permit
}
Estas líneas sirven para especificar que tengan acceso a todos los servicios. Paso
seguido se define el grupo limitado, el cual solo tendrá acceso a los comandos que se
especifiquen:
group = limited {
default service = deny
cmd = show {
permit ip
permit interface
deny .*
}
cmd = enable {
permit .*
}
cmd = exit {
permit .*
}
}
Las anteriores líneas especifican que el grupo “limited” solo tendra acceso a ejecutar el
comando enable, exit, show interface y show ip, cualquier otro comando no podrá ser
ejecutado.
user = usuario1 {
login = cleartext contraseña1
member = administrator
}
user = usuario2 {
login = cleartext contraseña2
member = administrator
}
user = usuario3 {
login = cleartext contraseña3
member = limited
}
user = usuario4 {
login = cleartext contraseña4
member = limited
}
Las siguientes líneas sirven para definir la contraseña del modo privilegiado:
user = $enable$ {
login = cleartext contraseña5
}
Una vez terminada la edición del archivo, se guarda y se reinicia el servicio TACACS:
[root@asorufps] # /etc/init.d/tacacs restart
Para acceder al router es necesario conocer el puerto con el que se conectó al equipo,
en este caso es : /dev/ttyUSB0
Una vez iniciado putty, seleccionamos en tipo de conexión “Serial” y en “Serial line” se
introduce el puerto al cual se encuentra conectado el router.
Una vez ya en el router procedemos a insertar las siguientes líneas de comando:
ROUTER>en
ROUTER#config t
ROUTER(config)#aaa new-model
En la anterior línea, además le indicamos al router que este modelo estará vinculado al
grupo tacacs.
Ahora configuramos el modo privilegiado, “enable” con “default” que es la única opción
válida:
ROUTER(config)#aaa authentication enable default group tacacs+
Autorizamos los comandos execute para que se puedan ejecutar comandos una vez
autenticado:
ROUTER(config)#line vty 0 4
ROUTER(config-line)#login authentication modelo1
Con las siguientes líneas limitamos los intentos de sesión y el tiempo de conexión
inactiva:
ROUTER(config-line)#session-limit 3
ROUTER(config-line)#exec-timeout 30
Para hacer más segura la comunicación, se puede activar ssh versión 2. Primero se
debe crear el nombre del dominio, ya que se usa para crear la clave criptográfica:
Ahora se especifican las líneas vty que sólo acepten tráfico entrante vía ssh:
ROUTER(config)#line vty 0 4
ROUTER(config-line)#transport input ssh
ROUTER(config-line)#exit
ROUTER(config)#end