Usakinishaji na Usanidi wa TACACS+ ukitumia Cisco Router kwenye Debian 8 Jessie


Teknolojia leo inategemea sana vifaa vya mtandao na usanidi sahihi wa vifaa hivyo vya mtandao. Wasimamizi wana jukumu la kuhakikisha kuwa mabadiliko ya usanidi hayajaribiwi tu kabla ya utekelezaji lakini pia kwamba mabadiliko yoyote ya usanidi hufanywa na watu ambao wameidhinishwa kufanya mabadiliko na pia kuhakikisha kuwa mabadiliko yamerekodiwa.

Kanuni hii ya usalama inajulikana kama AAA (Triple-A) au Uthibitishaji, Uidhinishaji, na Uhasibu. Kuna mifumo miwili maarufu ambayo hutoa utendaji wa AAA kwa wasimamizi kupata ufikiaji salama wa vifaa na mitandao ambayo vifaa hivyo hutumikia.

RADIUS (Huduma ya Mtumiaji ya Kupiga Ufikiaji wa Mbali) na TACACS+ (Mfumo wa Udhibiti wa Ufikiaji wa Ufikiaji wa Kituo Plus).

Radius kwa kawaida hutumika kuthibitisha watumiaji kufikia mtandao ambao unatofautiana na TACACS kwa kuwa TACACS hutumiwa kwa kawaida kwa usimamizi wa kifaa. Mojawapo ya tofauti kubwa kati ya itifaki hizi mbili ni uwezo wa TACACS kutenganisha vitendaji vya AAA katika vitendakazi huru.

Manufaa ya utenganisho wa TACACS wa vipengele vya AAA ni kwamba uwezo wa mtumiaji wa kutekeleza amri fulani unaweza kudhibitiwa. Hili ni la manufaa sana kwa mashirika yanayotaka kuwapa wafanyakazi wa mitandao au wasimamizi wengine wa TEHAMA haki tofauti za amri katika kiwango cha punjepunje.

Makala haya yatapitia kusanidi mfumo wa Debian kufanya kazi kama mfumo wa TACACS+.

  1. Debian 8 imesakinishwa na kusanidi kwa muunganisho wa mtandao. Tafadhali soma makala haya kuhusu jinsi ya kusakinisha Debian 8
  2. Cisco network switch 2940 (Vifaa vingine vingi vya Cisco vitafanya kazi pia lakini amri kwenye swichi/ruta zinaweza kutofautiana).

Usakinishaji wa Programu ya TACACS+ kwenye Debian 8

Hatua ya kwanza ya kusanidi seva hii mpya ya TACACS itakuwa kupata programu kutoka kwa hazina. Hii inakamilishwa kwa urahisi kwa kutumia amri ya 'apt'.

# apt-get install tacacs+

Amri iliyo hapo juu itasakinisha na kuanza huduma ya seva kwenye bandari 49. Hii inaweza kuthibitishwa na huduma kadhaa.

# lsof -i :49
# netstat -ltp | grep tac

Amri hizi mbili zinapaswa kurudisha laini inayoonyesha kuwa TACACS inasikiliza kwenye bandari 49 kwenye mfumo huu.

Kwa wakati huu TACACS inasikiliza miunganisho kwenye mashine hii. Sasa ni wakati wa kusanidi huduma ya TACACS na watumiaji.

Inasanidi Huduma na Watumiaji wa TACACS

Kwa ujumla ni wazo nzuri kuunganisha huduma kwa anwani maalum za IP ikiwa seva itakuwa na anwani nyingi. Ili kukamilisha kazi hii, chaguo-msingi za daemoni zinaweza kubadilishwa ili kubainisha anwani ya IP.

# nano /etc/default/tacacs+

Faili hii inabainisha mipangilio yote ya daemoni ambayo mfumo wa TACACS unapaswa kuanza. Usakinishaji wa chaguo-msingi utabainisha tu faili ya usanidi. Kwa kuongeza hoja ya ‘-B’ kwenye faili hii, anwani mahususi ya IP inaweza kutumika kwa TACACS kusikiliza.

DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

Dokezo maalum katika Debian: Kwa sababu fulani kujaribu kuanzisha upya huduma ya TACACS+ ili kusoma chaguo mpya za daemon hakufaulu (kupitia huduma tacacs_plus kuanzisha upya).

Tatizo hapa linaonekana kuwa wakati TACACS inapoanzishwa kupitia hati ya init, PID imewekwa kwa takwimu kuwa \PIDFILE=/var/run/tac_plus.pid hata hivyo wakati \-B X.X.X.X imebainishwa kama chaguo la daemon, jina la faili ya pid linabadilishwa kuwa \/var/run/tac_plus.pid.X.X.X.X.

Sina hakika kabisa kama hii ni hitilafu au la lakini ili kupambana na hali hiyo kwa muda, mtu anaweza kuweka PIDFILE mwenyewe kwenye hati ya init kwa kubadilisha laini kuwa \PIDFILE=/var/run/tac_plus.pid.X.X.X.X ambapo X.X.X.X ni anwani ya IP ya TACACS inapaswa kusikiliza na kisha kuanza huduma na:

# service tacacs_plus start

Baada ya kuanzisha upya huduma, amri ya lsof inaweza kutumika tena ili kuthibitisha kuwa huduma ya TACACS inasikiliza kwenye anwani sahihi ya IP.

# lsof -i :49

Kama inavyoonekana hapo juu, TACACS inasikiliza kwenye anwani ya IP kwenye anwani mahususi ya IP kama ilivyowekwa katika faili ya chaguomsingi ya TACACS hapo juu. Katika hatua hii watumiaji na seti maalum za amri zinahitajika kuundwa.

Taarifa hii inadhibitiwa na faili nyingine: ‘/etc/tacacs+/tac_plus.conf‘. Fungua faili hii na kihariri maandishi ili kufanya marekebisho yanayofaa.

# nano /etc/tacacs+/tac_plus.conf

Faili hii ndipo vipimo vyote vya TACACS vinapaswa kukaa (ruhusa za watumiaji, orodha za udhibiti wa ufikiaji, funguo za seva pangishi, n.k). Jambo la kwanza ambalo linahitaji kuundwa ni ufunguo wa vifaa vya mtandao.

Kuna kubadilika sana katika hatua hii. Ufunguo mmoja unaweza kusanidiwa kwa vifaa vyote vya mtandao au funguo nyingi zinaweza kusanidiwa kwa kila kifaa. Chaguo ni la mtumiaji lakini mwongozo huu utatumia ufunguo mmoja kwa ajili ya urahisi.

key = "super_secret_TACACS+_key"

Baada ya ufunguo kusanidiwa, vikundi vinapaswa kujengwa ambavyo vitaamua ruhusa ambazo watumiaji watapewa baadaye. Kuunda vikundi hurahisisha utumaji wa ruhusa. Chini ni mfano wa kugawa haki kamili za msimamizi.

group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. Jina la kikundi linabainishwa na mstari \group = admins huku wasimamizi wakiwa ni jina la kikundi.
  2. Mstari wa \default service = permit unaonyesha kwamba ikiwa amri haijakataliwa waziwazi, basi iruhusu bila kuficha.
  3. service = exec {priv-lvl = 15 } inaruhusu kiwango cha upendeleo 15 katika hali ya utekelezaji kwenye kifaa cha Cisco (kiwango cha marupurupu cha 15 ndicho cha juu zaidi kwenye kifaa cha Cisco).

Sasa mtumiaji anahitaji kukabidhiwa kwa kikundi cha msimamizi.

user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. Kifungu cha \user = rob kinaruhusu jina la mtumiaji la wizi kufikia baadhi ya rasilimali.
  2. Mwanachama = wasimamizi anaiambia TACACS+ kurejelea kikundi kilichopita kinachoitwa wasimamizi kwa ajili ya kuorodhesha kile ambacho mtumiaji huyu ameidhinishwa kufanya.
  3. Mstari wa mwisho, \login = des mjth124WPZapY ni neno la siri lililosimbwa kwa mtumiaji huyu ili kuthibitisha ( jisikie huru kutumia cracker kubaini mfano huu wa \tata wa nenosiri)!

Muhimu: Kwa ujumla ni njia bora zaidi kuweka manenosiri yaliyosimbwa kwenye faili hii badala ya maandishi rahisi kwani huongeza usalama kidogo endapo mtu atasoma faili hii na asiwe na ufikiaji.

Hatua nzuri ya kuzuia kwa hili ni angalau kuondoa ufikiaji wa usomaji wa ulimwengu kwenye faili ya usanidi pia. Hii inaweza kufanywa kupitia amri ifuatayo:

# chmod o-r /etc/tacacs+/tac_plus.conf
# service tacacs_plus reload

Kwa wakati huu upande wa seva uko tayari kwa miunganisho kutoka kwa vifaa vya mtandao. Hebu tuelekee kwenye swichi ya Cisco sasa na tuisanidi ili kuwasiliana na seva hii ya Debian TACACS+.