Integrace řadiče domén CentOS 6.7 Tacacs + GNS3 (Cisco 3600)


O programu TACACS + už víme z článku "FreeBSD TACACS + GNS3 a Cisco 3700 Router". Ve vaší firemní společnosti však může být požadavek SSN (Single Sign On) a účtování síťových zařízení. Za tímto účelem musíte integrovat server Tacacs + s firemním řadičem domény. To znamená, že v řadiči domény máte nějaké skupiny pro přístup k přístupu k síťovým zařízením. Uživatelé v této skupině mají odlišnou úroveň přístupu k síťovým zařízením. Pokud je uživatel netadmin pak dostane úplný přístup a pokud je uživatel operátorem, dostane omezený přístup k síťovým zařízením. Tento článek vám to pomůže.

Použité zdroje:
Linux Ubuntu Desktop 14.04 x64 - 10.60.70.217 GNS3 nainstalován a nakonfigurován (Router 3600)
CentOS 6.7 x64 (Tacacs +) - 10.60.70.89
Server Windows 2012 - DC01-10.60.70.2, DC02-10.60.70.3
DC : domain.lan
Uživatel DC: Ducer
Průchod DC: DCUserPass
Port MSLDAP: 3268
DC skupiny: tacacsadmin, tacacsguest, tacacsmedium
uživatelé: plné, nízké, střední (plně uživatel je členem tacacsadmin, nízký uživatel je členem tacacsguest a střední uživatel je členem tacacsmedium skupiny)

Topologie sítě bude následující:
Tac-DC

Aktualizovat úložiště a nainstalovat potřebné balíky na server CentOS:
historie | grep yum | awk '{$ 1 = ""; tisk} '| grep -v history # příkazy z historie
yum aktualizace
yum -y nainstalovat gcc
yum -y nainstalovat perl-LDAP
yum -y nainstalovat bind-utils
yum -y nainstalovat telnet.x86_64
yum -y nainstalovat na vrcholu iotop nload iftop htop
yum -y nainstalovat perl-IO-Socket-SSL
yum -y instaluj pam-devel
yum -y nainstalujte ld-linux.so.2

cat /etc/resolv.conf # Přidat DC IP adresy jako nameserver
search domain.lan
nameserver 10.60.70.2
nameserver 10.60.70.3

Vytvoření potřebných složek:
historie | grep mkdir | awk '{$ 1 = ""; tisk} '| grep -v history # příkazy z historie
mkdir / root / tacacs
mkdir / var / log / tac_plus
mkdir / var / log / tac_plus / přístup
mkdir / var / log / tac_plus / akc
chmod 760 -R / var / log / tac_plus /

Stahujte zdrojový kód tacacs a zkompilujte:
cd / root / tacacs
wget http://www.pro-bono-publico.de/projects/src/DEVEL.201407301604.tar.bz2
tar jxf DEVEL.201407301604.tar.bz2 # Výpis souboru
cd PROJEKTY / # Přejděte do extrahované složky
. / Configure # configure
echo $? # Musí být pravdivý jako 0
činit # compile
echo $? # Musí být pravdivý jako 0
make install # Nainstalujte
echo $? # Musí být pravdivý jako 0

Zkopírujte konfigurační soubor, udělejte oprávnění a deaktivujte firewall, Selinux.
cp /root/tacacs/PROJECTS/tac_plus/extra/tac_plus.cfg-ads /usr/local/etc/tac_plus.cfg
chmod 755 /etc/init.d/tac_plus
chmod 660 /usr/local/etc/tac_plus.cfg
chkconfig -level 0123456 iptables vypnuto
vi / etc / selinux / config # Zakáže SELinux
SELINUX = zakázáno

chkconfig -add tac_plus # Přidat službu tacacs
chkconfig -level 2345 tac_plus zapnuto # Přidat démona tacacs při spuštění

Poznámka: Nezapomeňte, že název skupin v tacaks konfigurační soubor není napsán jako tacaks, protože tacacs automaticky vyhledává sám s tímto jménem a sám hledá sám s tacaks záhlaví skupin v DC. Pokud v konfiguračním souboru budou skupiny jako host a admin, v DC musíme vytvořit tacacsguest a tacacsadmin skupiny.

Konfigurační soubor bude následující:
cat /usr/local/etc/tac_plus.cfg
#! / usr / local / sbin / tac_plus
id = spawnd {
poslouchat = {port = 49}
spawn = {
instance min = 1
instance max = 10
}
pozadí = ano
}

id = tac_plus {
přístup log = /var/log/tac_plus/access/%Y%m%d.log
účetní log = /var/log/tac_plus/acct/%Y%m%d.log

# Konfigurace pro připojení k řadiči domény:
mavis module = externí {
setenv LDAP_SERVER_TYPE = "Microsoft"
setenv LDAP_HOSTS = "dc01: 3268 dc02: 3268"
setenv LDAP_BASE = "dc = doména, dc = lan"
setenv LDAP_USER = "[Email chráněn]"
setenv LDAP_PASSWD = "DCUserPass"
setenv REQUIRE_TACACS_GROUP_PREFIX = 1
setenv FLAG_USE_MEMBEROF = 1
exec = /usr/local/lib/mavis/mavis_tacplus_ldap.pl
}

přihlašovací backend = mavis
uživatelský backend = mavis
# pap backend = mavis

host = world {
adresa = :: / 0
prompt = "Vítejte v FHN Statistika"
#Pro vygenerování hesla použijte toto "Openssl passwd -1 clear_text_password" příkaz
povolit 15 = crypt $ 1 $ 8hAByjzi $ 7tIDLo.9cHJBfW1EQN3N8.
#enable 15 = jasné tajemství
key = "[Email chráněn]@[Email chráněn]$$ w0rd "# Předsdílený klíč používaný mezi servery Cisco a Linux tacacs
}
# Poskytněte členům přístup tacacsadmin skupina
skupina = admin {
message = "[Oprávnění administrátora]"
výchozí služba = povolení
service = shell {
výchozí příkaz = povolení
default attribute = povolení
nastavit priv-lvl = 15
}
}

# Členové tacasguest skupiny mají úroveň oprávnění 1 a mít umožnit přístup.
# Ale nemají přístup konfigurovat a zapsat Příkazy
skupina = host {
message = "[Příspěvky hostů]"
výchozí služba = povolení
enable = povolení
service = shell {
výchozí příkaz = povolení
default attribute = povolení
nastavit priv-lvl = 1
cmd = konfigurace {deny. *}
cmd = zápis {deny. *}
}
}
# Členové tacacsmedium skupina mají plný přístup, ale nemají přístup konfigurovat a umožnit příkazy:
skupina = střední {
message = "[Mediální oprávnění]"
výchozí služba = povolení
service = shell {
výchozí příkaz = povolení
default attribute = povolení
nastavit priv-lvl = 15
cmd = konfigurace {deny. *}
cmd = povolit {deny. *}
}
}
}

ll /usr/local/lib/mavis/mavis_tacplus_ldap.pl # Zkontrolujte cestu k souboru (musí být tak)

/ usr / local / sbin / tac_plus -P /usr/local/etc/tac_plus.cfg # Zkontrolujte konfigurační soubor (Pokud je vše v pořádku, nic přijde)

service tac_plus start # Spusťte službu

netstat -nlp | grep tac_plus # Zkontrolujte port pro poslech
tcp 0 0 ::: 49 ::: * POČET 1793 / tac_plus

tcpdump -nn port 49 # Sniff port v první konzole

tail -f /var/log/tac_plus/access/20140820.log # Ve druhé konzole analyzujte soubor protokolu

tcpdump -n -e -i eth0 port 3268 # Ve třetí konzoli je snifujte provoz do řadiče domény

Pro úplné ladění můžeme použít následující kroky:

  1. Zadejte příkaz do první konzoly (musí být nainstalován modul perl-ldap):

env LDAP_HOSTS = "10.60.70.2" LDAP_SERVER_TYPE = "Microsoft" /usr/local/lib/mavis/mavis_tacplus_ldap.pl

  1. Zadejte příkaz do druhé konzoly. V Výstupní páry atribut-hodnota musí být Výsledek - ACK:

/ usr / local / bin / mavistest /usr/local/etc/tac_plus.cfg tac_plus TACPLUS plný A123456789a

Vstupní páry atribut-hodnota:
TYP TACPLUS
TIMESTAMP mavistest-2101-1408505825-0
USER plný
HESLO A123456789a
TACTYPE AUTH

Výstupní páry atribut-hodnota:
TYP TACPLUS
TIMESTAMP mavistest-2101-1408505825-0
USER plný
RESULT ACK
HESLO A123456789a
SERIAL uxnEq26iaDtAp12X5kKImA =
DBPASSWORD A123456789a
TACMEMBER admin
TACTYPE AUTH

Pro kontrolu démona pracujícího v režimu ladění můžete použít následující příkaz. Ale myslím, že pro řešení těchto potíží je dost:
/ usr / lokální / sbin / tac_plus -d 4088 -fp /var/run/tac_plus.pid/usr/local/etc/tac_plus.cfg

A teď jdeme na Linux Ubuntu Desktop pro instalaci a konfiguraci GNS3. V našich konfiguracích použijeme směrovač Cisco 3600 Router.
Otevřete SSH a nainstalujte GNS3:
apt-get update # Aktualizujte úložiště, balíčky a jádro
apt-get dist-upgrade

apt-get nainstalovat ssh # Nainstalujte SSH a spusťte
/etc/init.d/ssh start

apt-get install gns3 # Nainstalujte GNS3

Vytvořte složku v některé cestě a nahrajte IOS směrovače Cisco 3600 do této složky pomocí programu WinSCP (nebo něco jiného). A nastavte cestu Cisco 3600 Router v našem GNS3. Nakonec nakonfigurujte server GNS3:
Router-to-Cloud

Konfigurace cloud společnosti Cisco bude následující:
Cloud-Configuration

Na konci konfigurace pro náš směrovač bude následující:
aaa nový model
aaa skupina server tacacs + TACSERVICE
10.60.70.89 serveru
aaa autentizace přihlašovací výchozí skupina TACSERVICE místní
aaa ověřování přihlášení CONSOLE local
aaa autentizace povolit výchozí skupinu TACSERVICE povolit
aaa oprávnění konfigurace příkazů
aaa autorizace výchozí skupina TACSERVICE místní
aaa autorizace exec CONSOLE local
aaa autorizační příkazy 15 výchozí skupina TACSERVICE místní
aaa účetní příkazy 15 výchozí skupina start-stop TACSERVICE

ip název-server 10.60.70.2
ip název-server 10.60.70.3

rozhraní FastEthernet0 / 0
Adresa IP 10.60.70.217 255.255.255.0
žádné vypnutí

ip výchozí brána 10.60.70.1

tacacs-server host 10.60.70.89
časový limit tacacs-server 2
klávesa tacacs-server [Email chráněn]@[Email chráněn]$$ w0rd # Předsdílený klíč používaný mezi servery Cisco a Linux tacacs

line s 0
přihlašovací autentizace CONSOLE
linka vty 0 15

zapisovat paměť # Uložte konfigurace

Pokuste se připojit k naší službě Cisco 3600 (IP: 10.60.70.217) směrovač z podsítě 10.60.70.0 / 24:
[Email chráněn]: ~ # telnet 10.60.70.217
Snaží se 10.60.70.217 ...
Připojeno k 10.60.70.217.
Únikový znak je '^]'.

Vítejte v Corp. R

Uživatelské jméno: nízký
heslo: A123456789a
[Příspěvky hostů]
R1>

v /var/log/tac_plus/access/20140820.log log souboru musíme vidět následující řádek:
2014-08-20 09: 33: 02 + 0500 10.60.70.217: Přihlašování shell pro 'low' z 10.60.70.50 na tty226 bylo úspěšné

Pro ladění Router můžeme použít následující příkazy.
Ladění pro AAA:
ladit aaa na uživatele
ladění aaa ověřování
ladění aaa oprávnění
ladění aaa účetnictví

Ladění pro tacacs můžeme použít následující příkazy:
ladicí autentizace tacacs
ladění tacacs oprávnění
ladění tacacs účetnictví
ladění událostí tacacs
Debug tacacs paket

Příspěvek Integrace řadiče domén CentOS 6.7 Tacacs + GNS3 (Cisco 3600) se objevil nejprve na Unixmen.

Napsat komentář