CentOS 6.7 Tacacs + GNS3 (Cisco 3600) Domain Controller integration


Vi ved allerede om TACACS + fra "FreeBSD TACACS + GNS3 og Cisco 3700 Router" artiklen. Men i dit firma kan være krav SSN (Single Sign on) og regnskab for netværksenheder. Til det skal du integrere din Tacacs + server med din corporate Domain Controller. Det betyder i din Domain Controller, at nogle grupper har adgang til adgang til netværksenheden. For brugere i disse grupper har forskellige adgangsniveauer til netværksenheder. Hvis brugeren er Netadmin så får han fuld adgang, og hvis brugeren er operatør, får han begrænset adgang til netværksenheder. Denne artikel hjælper dig med at gøre dette.

Brugte ressourcer:
Linux Ubuntu Desktop 14.04 x64 - 10.60.70.217 GNS3 indstillet og konfigureret (Router 3600)
CentOS 6.7 x64 (Tacacs +) - 10.60.70.89
Windows 2012-server - DC01-10.60.70.2, DC02-10.60.70.3
DC: domain.lan
DC bruger: dcuser
DC-pass: DCUserPass
MSLDAP-port: 3268
DC-grupper: tacacsadmin, tacacsguest, tacacsmedium
Brugere: fuld, lav, medium (fuld bruger er medlem af tacacsadmin, lav bruger er medlem af tacacsguest og medium bruger er medlem af tacacsmedium grupper)

Netværkstopologi er som følger:
Tac-DC

Opdater repositories og installer nødvendige pakker til CentOS server:
historie | grep yum | awk '{$ 1 = ""; print} '| grep -v historie # kommandoer fra historien
yum update
yum-du installerer gcc
yum-du installerer perl-LDAP
yum-du installerer bind-outils
yum-du installerer telnet.x86_64
yum-du installerer ovenpå iotop nload iftop htop
yum-du installerer Perl-IO-Socket-SSL
yum-du installerer pam-devel
yum-du installerer ld-linux.so.2

kat /etc/resolv.conf # Tilføj DC IP-adresser som navneserver
søg domain.lan
navneserver 10.60.70.2
navneserver 10.60.70.3

Opret nødvendige mapper:
historie | grep mkdir | awk '{$ 1 = ""; print} '| grep -v historie # kommandoer fra historien
mkdir / root / tacacs
mkdir / var / log / tac_plus
mkdir / var / log / tac_plus / adgang
mkdir / var / log / tac_plus / acct
chmod 760 -R / var / log / tac_plus /

Download tacacs kildekoden og kompilere:
cd / root / tacacs
wget http://www.pro-bono-publico.de/projects/src/DEVEL.201407301604.tar.bz2
tjære jxf DEVEL.201407301604.tar.bz2 # Uddrag fil
cd PROJEKTER / # Gå til den uddragne mappe
./configure # configure
ekko $? # Må være sand Som 0
lave # udarbejde
ekko $? # Må være sand Som 0
make install # installere
ekko $? # Må være sand Som 0

Kopier konfigurationsfilen, giv tilladelser og deaktiver firewall, Selinux.
cp /root/tacacs/PROJECTS/tac_plus/extra/tac_plus.cfg-ads/usr/local/etc/tac_plus.cfg
chmod 755 /etc/init.d/tac_plus
chmod 660 /usr/local/etc/tac_plus.cfg
chkconfig-level 0123456 iptables off
vi / etc / selinux / config # Deaktiver SELinux
SELinux = deaktiveret

chkconfig -add tac_plus # Tilføj tacacs service
chkconfig-level 2345 tac_plus på # Tilføj tacacs daemon til opstart

Noter: Glem det ikke, navnet på grupper i TACACS konfigurationsfilen er ikke skrevet som TACACS, fordi tacacs automatisk søger i sig selv med dette navn, og det søger i sig alligevel med TACACS header af grupper i DC. Hvis i konfigurationsfilen vil være grupper som gæst og admin, i DC skal vi oprette tacacsguest og tacacsadmin grupper.

Konfigurationsfilen er som følger:
cat /usr/local/etc/tac_plus.cfg
#! / Usr / local / sbin / tac_plus
id = spawnd {
lyt = {port = 49}
spawn = {
forekomster min = 1
forekomster max = 10
}
baggrund = ja
}

id = tac_plus {
adgang log = /var/log/tac_plus/access/%Y%m%d.log
regnskabs log = =var/log/tac_plus/acct/%Y%m%d.log

# Konfiguration til forbindelse til domænecontroller:
mavis-modul = ekstern {
setenv LDAP_SERVER_TYPE = "microsoft"
setenv LDAP_HOSTS = "dc01: 3268 dc02: 3268"
setenv LDAP_BASE = "dc = domæne, dc = lan"
setenv LDAP_USER = "[Email protected]"
setenv LDAP_PASSWD = "DCUserPass"
setenv REQUIRE_TACACS_GROUP_PREFIX = 1
setenv FLAG_USE_MEMBEROF = 1
exec = /usr/local/lib/mavis/mavis_tacplus_ldap.pl
}

login backend = mavis
brugerbackend = mavis
# pap backend = mavis

vært = verden {
adresse = :: / 0
prompt = "Velkommen til FHN Statistikan"
#For adgangskode generere brug dette "Openssl passwd -1 clear_text_password" kommando
aktiver 15 = krypter $ 1 $ 8hAByjzi $ 7tIDLo.9cHJBfW1EQN3N8.
#enable 15 = klar hemmelighed
nøgle = "[Email protected]@[Email protected]$$ w0rd "# Foruddelt nøgle bruges mellem Cisco og Linux tacacs server
}
# Giv adgang til medlemmer tacacsadmin gruppe
gruppe = admin {
message = "[Admin privilegier]"
standard service = tilladelse
service = shell {
standard kommando = tilladelse
standardattribut = tilladelse
sæt priv-lvl = 15
}
}

# Medlemmer af tacasguest gruppe har privilegium niveau 1 og har muliggøre adgang.
# Men har ikke adgang til konfigurere og skriver kommandoer
gruppe = gæst {
message = "[Guest privileges]"
standard service = tilladelse
aktiver = tillad
service = shell {
standard kommando = tilladelse
standardattribut = tilladelse
sæt priv-lvl = 1
cmd = configure {deny. *}
cmd = skriv {benægt. *}
}
}
# Medlemmer af tacacsmedium Gruppen har fuld adgang, men har ikke adgang til konfigurere og muliggøre kommandoer:
gruppe = medium {
message = "[Medium privileges]"
standard service = tilladelse
service = shell {
standard kommando = tilladelse
standardattribut = tilladelse
sæt priv-lvl = 15
cmd = configure {deny. *}
cmd = aktiver {benægt. *}
}
}
}

ll /usr/local/lib/mavis/mavis_tacplus_ldap.pl # Kontroller filsti (skal være sådan)

/ usr / local / sbin / tac_plus -P /usr/local/etc/tac_plus.cfg # Kontroller konfigurationsfilen (Hvis alt er ok, vil der ikke komme noget)

service tac_plus start # Start tjenesten

netstat -nlp | grep tac_plus # Kontroller lytteporten
tcp 0 0 ::: 49 ::: * LISTEN 1793 / tac_plus

tcpdump -nn port 49 # Sniff porten i den første konsol

hale -f /var/log/tac_plus/access/20140820.log # Analyser logfilen i den anden konsol

tcpdump -n -e-i eth0 port 3268 # I den tredje konsol snuse trafikken til Domain Controller

For fuld fejlfinding kan vi bruge følgende trin:

  1. Indtast kommandoen i den første konsol (perl-ldap-modulet skal indstilles):

env LDAP_HOSTS = "10.60.70.2" LDAP_SERVER_TYPE = "Microsoft" /usr/local/lib/mavis/mavis_tacplus_ldap.pl

  1. Indtast kommandoen i den anden konsol. I Output attribut-value-pairs være Resultat - ACK:

/ usr / local / bin / mavistest /usr/local/etc/tac_plus.cfg tac_plus TACPLUS fuld A123456789a

Input attribut-værdi-par:
TYPE TAKPLUS
TIMESTAMP mavistest-2101-1408505825-0
USER fuld
PASSWORD A123456789a
TACTYPE AUTH

Output attribut-value-pairs:
TYPE TAKPLUS
TIMESTAMP mavistest-2101-1408505825-0
USER fuld
RESULTAT ACK
PASSWORD A123456789a
SERIAL uxnEq26iaDtAp12X5kKImA =
DBPASSWORD A123456789a
TACMEMBER admin
TACTYPE AUTH

For checkdemon, der arbejder i fejlfindingstilstand, kan du bruge følgende kommando. Men jeg tror, ​​at det er nok at fejle disse kommandoer:
/ usr / local / sbin / tac_plus -d 4088-fp /var/run/tac_plus.pid/usr/local/etc/tac_plus.cfg

Og nu skal vi til Linux Ubuntu Desktop-maskine til installation og konfiguration af GNS3. Vi bruger Cisco 3600 Router i vores konfigurationer.
Åbn SSH og installer GNS3:
apt-get update # Opdater lagre, pakker og kerne
apt-get dist-upgrade

apt-get installer ssh # Installer SSH og start
/etc/init.d/ssh start

apt-get installer gns3 # Installer GNS3

Opret mappe i en vej og upload Cisco 3600 Router IOS til denne mappe med WinSCP (eller noget andet). Og indstil Cisco 3600 Router-stien i vores GNS3. I slutningen konfigurerer GNS3-serveren:
Router-til-Cloud

Cisco Cloud-konfigurationen er som følger:
Cloud-konfiguration

I slutningen konfiguration for vores router vil være som følger:
aaa ny model
aaa gruppe server tacacs + TACSERVICE
10.60.70.89 server
aaa autentificering login standardgruppe TACSERVICE local
aaa godkendelses login CONSOLE local
aaa-godkendelse aktiverer standardgruppe TACSERVICE-aktivering
aaa autorisation config-kommandoer
aaa autorisation exec standardgruppe TACSERVICE lokal
aaa autorisation exec CONSOLE local
aaa autorisation kommandoer 15 standardgruppe TACSERVICE lokal
aaa regnskabskommandoer 15 standard start-stop gruppe TACSERVICE

ip navn-server 10.60.70.2
ip navn-server 10.60.70.3

interface FastEthernet0 / 0
ip-adresse 10.60.70.217 255.255.255.0
ingen nedlukning

ip standard gateway 10.60.70.1

tacacs-server vært 10.60.70.89
tacacs-server timeout 2
tacacs-server nøgle [Email protected]@[Email protected]$$ w0rd # Foruddelt nøgle bruges mellem Cisco og Linux tacacs server

line con 0
login autentificering CONSOLE
linje vty 0 15

skriv skrivehukommelse # Gem konfigurationerne

Prøv at oprette forbindelse til vores Cisco 3600 (IP: 10.60.70.217) router fra subnet 10.60.70.0 / 24:
[Email protected]: ~ # telnet 10.60.70.217
Forsøger 10.60.70.217 ...
Forbundet til 10.60.70.217.
Escape karakter er '^]'.

Velkommen til Corp R

Brugernavn: lav
Adgangskode: A123456789a
[Gæsteprivilegier]
R1>

i /var/log/tac_plus/access/20140820.log logfilen skal vi se følgende linje:
2014-08-20 09: 33: 02 + 0500 10.60.70.217: Skal login til 'low' fra 10.60.70.50 efter tty226 lykkedes

For debug Router kan vi bruge følgende kommandoer.
Fejlfinding for AAA:
debug aaa per bruger
debug aaa-godkendelse
debug aaa autorisation
debug aaa regnskab

Fejlfinding for tacacs kan vi bruge følgende kommandoer:
debug tacacs-godkendelse
debug tacacs autorisation
debug tacacs regnskab
debug tacacs begivenheder
debug tacacs pakke

Stillingen CentOS 6.7 Tacacs + GNS3 (Cisco 3600) Domain Controller integration dukkede først på Unixmen.

Efterlad en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.