Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Tacacs PDF

    Cargado por

    Sebastian Alvarado
    14 vistas8 páginas

    Título original

    TACACS.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    14 vistas8 páginas

    Tacacs PDF

    Cargado por

    Sebastian Alvarado

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 8

    INSTALACIÓN Y CONFIGURACIÓN DEL SISTEMA DE AUTENTICACIÓN TACACS

    JUAN CARLOS MACIAS ZAMBRANO


    Cod: 1150328

    Presentado a :
    ING. JEAN POLO CEQUEDA OLAGO

    UNIVERSIDAD FRANCISCO DE PAULA SANTANDER


    FACULTAD DE INGENIERIA
    INGENIERIA DE SISTEMAS
    2013
    1. ¿QUÉ ES TACACS?

    TACACS (acrónimo de Terminal Access Controller Access Control System, en inglés


    „sistema de control de acceso mediante control del acceso desde terminales‟) es un
    protocolo de autenticación remota, propietario de cisco, que se usa para comunicarse
    con un servidor de autenticación comúnmente usado en redes Unix. TACACS permite a
    un servidor de acceso remoto comunicarse con un servidor de autenticación para
    determinar si el usuario tiene acceso a la red. TACACS está documentado en el RFC
    1492.

    2. INSTALACIÓN DE TACACS EN FEDORA


    Nota: Para el desarrollo del proyecto se utilizó la distribución Linux Fedora 17.
    Primero que todo se debe descargar TACACS+. Se pude hacer de la siguiente URL:
    http://www.mediafire.com/?81e8ykc59wpi8fh
    Para instalarlo basta con dar doble clic al archivo descargado y confirmar cuando así lo
    requiera. También se puede instalar mediante el siguiente comando:
    [root@asorufps] # yum localinstall tac_plus-4.0.3-2.i386.rpm

    En otras distribuciones puede usar

    #apt-get install tacacs+

    Archivos del servicio

    /var/log/tacacs+/account.log (debe ser escribible, no ReadOnly)

    /var/tmp/tac_plus.log (log del servicio)

    /etc/init.d/tacacs_plus (script de inicio)

    /etc/tacacs+/tac_plus.conf (usuarios y configuracion global)

    /usr/sbin/tac_plus (ejecutable)
    El Daemon se instalará con el nombre tacacs, por lo tanto para iniciar, parar o reiniciar
    el servicio bastaría con:

    Iniciar: /etc/init.d/tacacs start


    Parar: /etc/init.d/tacacs stop
    Reiniciar: /etc/init.d/tacacs restart

    Teniendo esto en cuenta, procedamos con la configuración: el archivo donde vamos a


    configurar todo es /etc/tacacs/tac_plus.cfg, procedemos a editarlo con nuestro editor
    preferido:
    Inicialmente sólo se debe cambiar la llave por una personal, más adelante se tendrá
    que poner la misma llave para configurar el router.

    A continuación se define en el archivo el grupo administrativo de la siguiente manera:

    group = administrators {
    default service = permit
    }

    Estas líneas sirven para especificar que tengan acceso a todos los servicios. Paso
    seguido se define el grupo limitado, el cual solo tendrá acceso a los comandos que se
    especifiquen:
    group = limited {
    default service = deny
    cmd = show {

    permit ip
    permit interface
    deny .*
    }
    cmd = enable {
    permit .*
    }
    cmd = exit {
    permit .*
    }
    }

    Las anteriores líneas especifican que el grupo “limited” solo tendra acceso a ejecutar el
    comando enable, exit, show interface y show ip, cualquier otro comando no podrá ser
    ejecutado.

    user = usuario1 {
    login = cleartext contraseña1
    member = administrator
    }
    user = usuario2 {
    login = cleartext contraseña2
    member = administrator
    }
    user = usuario3 {
    login = cleartext contraseña3
    member = limited
    }
    user = usuario4 {
    login = cleartext contraseña4
    member = limited
    }

    Las siguientes líneas sirven para definir la contraseña del modo privilegiado:

    user = $enable$ {
    login = cleartext contraseña5
    }
    Una vez terminada la edición del archivo, se guarda y se reinicia el servicio TACACS:
    [root@asorufps] # /etc/init.d/tacacs restart

    CONFIGURACIÓN DE UN ROUTER CISCO PARA QUE TRABAJE CON TACACS+

    Nota: El router utilizado para el desarrollo de la práctica es un Cisco 2811 conectado


    mediante USB.

    Para acceder al router es necesario conocer el puerto con el que se conectó al equipo,
    en este caso es : /dev/ttyUSB0

    El programa utilizado para entrar a configurar el router es putty, es software libre y se


    puede descargar de la siguiente URL:

    Una vez iniciado putty, seleccionamos en tipo de conexión “Serial” y en “Serial line” se
    introduce el puerto al cual se encuentra conectado el router.
    Una vez ya en el router procedemos a insertar las siguientes líneas de comando:

    ROUTER>en
    ROUTER#config t

    Primero indicamos que vamos a crear un nuevo modelo de autenticación:

    ROUTER(config)#aaa new-model

    Configuramos el Login, se pueden crear varios modelos de autenticación y luego


    vincularlos a las líneas.

    ROUTER(config)#aaa authentication login modelo1 group tacacs+

    En la anterior línea, además le indicamos al router que este modelo estará vinculado al
    grupo tacacs.

    A continuación le indicamos al router que si falla el servidor AAA(Autenticación,


    Autorización y Contabilización) se loguee mediante la base de datos local

    ROUTER(config)#aaa authentication login modelo1 group tacacs+ local

    Ahora configuramos el modo privilegiado, “enable” con “default” que es la única opción
    válida:
    ROUTER(config)#aaa authentication enable default group tacacs+

    Autorizamos los comandos execute para que se puedan ejecutar comandos una vez
    autenticado:

    ROUTER(config)#aaa authorization exec modelo1 if-authenticated


    En la siguiente línea le indicamos al router donde se encuentra el servidor e insertamos
    la llave que anteriormente colocamos en el archivo de configuración de TACACS.

    ROUTER(config)#tacacs-server host 192.168.254.88 key CLAVE

    Creamos un usuario para la base de datos local:

    ROUTER(config)#username local password cisco

    Ahora solo falta decirle a la consola y la vty el modelo para autenticar:

    ROUTER(config)#line vty 0 4
    ROUTER(config-line)#login authentication modelo1
    Con las siguientes líneas limitamos los intentos de sesión y el tiempo de conexión
    inactiva:

    ROUTER(config-line)#session-limit 3
    ROUTER(config-line)#exec-timeout 30

    Para hacer más segura la comunicación, se puede activar ssh versión 2. Primero se
    debe crear el nombre del dominio, ya que se usa para crear la clave criptográfica:

    ROUTER(config)#ip domain-name aaa.com


    ROUTER(config)#crypto key generate rsa
    ROUTER(config)#ip ssh version 2

    Ahora se especifican las líneas vty que sólo acepten tráfico entrante vía ssh:

    ROUTER(config)#line vty 0 4
    ROUTER(config-line)#transport input ssh
    ROUTER(config-line)#exit
    ROUTER(config)#end

    ROUTER#copy run start

    Para probar el acceso ssh utilizamos igualmente putty y escribimos lo siguiente:

    > ssh –l nombreusuario direccioniprouter

    También podría gustarte