取代freeradius,tacacsAAA配置详解

最新推荐文章于 2024-08-14 15:52:11 发布
最新推荐文章于 2024-08-14 15:52:11 发布
阅读量959 收藏
点赞数
文章标签: ldap shell 运维
原文链接:https://segmentfault.com/a/1190000012407986
版权

我最近完成了企业网络设备通过Radius对Windows网络策略服务器进行身份验证的配置,但有以下功能不全:
1、radius授权很麻烦,不能做到简单配置,且需添加设备,avpair属性等操作。
2、对于计费功能的用户来说很好用,但对运维人员的详细记账是不足够详细的
假如想进一步呈现Router/Switch上用户的操作记录,那么tacacs+是一个很好的开源软件,很好的弥补radius不能展现的功能,构建起来很简单,那我们开始配置吧!

安装

软件下载地址:http://pan.baidu.com/s/1i4x3jrJ
# bzip2 -dc DEVEL.tar.bz2 | tar xvfp - #解压下载好的包
# cd PROJECTS
# make
# make install
# cp tac_plus/extra/tac_plus.cfg-ads /usr/local/etc/tac_plus.cfg #复制配置文件到指定目录

对tac_plus.cfg配置文件进行编辑
vim /usr/local/etc/tac_plus.cfg

#!/usr/local/sbin/tac_plus
id = spawnd {
    listen = { port = 49 }
    spawn = {
            instances min = 1
            instances max = 10
    }
background = no
}      
id = tac_plus {
   access log = /var/log/tac_plus/access/%Y%m%d.log
   accounting log = /var/log/tac_plus/acct/%Y%m%d.log

mavis module = external {
        setenv LDAP_SERVER_TYPE = "microsoft"
        setenv LDAP_HOSTS = "AD服务器IP:3268 ads02:3268"
        setenv LDAP_BASE = "dc=my-domain,dc=com"
        setenv LDAP_USER = "Manager@my-domain.com"
        setenv LDAP_PASSWD = "xxxxx"
        setenv REQUIRE_TACACS_GROUP_PREFIX = 1
        exec = /usr/local/lib/mavis/mavis_tacplus_ldap.pl
}
#此为可选配置,如需要对特定组设备有特定权限,可自行研究。
login backend = mavis
user backend = mavis
#pap backend = mavis

host = world {
        address = ::/0
        prompt = "Welcome\n"
        enable 15 = clear secret
        key = XXXX
}
#此处定义管理员全选组admin,登录权限是15
group = admin {   
        message= "[Admin privileges]"
        default service = permit
        service = shell {
                default command = permit
                default attribute = permit
                set priv-lvl = 15
        }
}
#此处定义普通用户组guest,登录权限是1,允许“show versinon/interface”,拒绝“show ip interface”,拒绝“enable”
group = guest {
        enable = deny
        service = shell {
                default cmd = deny
                message deny="Command Denied by tacacs server"
                default attribute = deny
                cmd = show {
                              deny /ip interface/
                              permit /version/
                              permit /interface */
                              deny //
                              message deny="Access Deny"
                       }
                cmd = quit {
                             permit //
                      }
                set priv-lvl = 1
                
        }
}
 user = 111 {
        password = clear 111
        member = guest 
}
#这里我们为运维工程师创建了2个账号,属admin组
user = cisco {
        password = clear cisco
        member = admin
        service = shell {
                default command = permit
                default attribute = permit
                set priv-lvl = 15
        }
}
user = atomlqws {
        password = clear "xxxxx" 
        member = admin
        service = shell {
                default command = permit
                default attribute = permit
                set priv-lvl = 15
        }
}
group = medium {
        default service = permit
        service = shell {
                default command = permit
                default attribute = permit
                set priv-lvl = 15
                cmd = configure { deny .*}
                cmd = enable { deny .* }
        }
}


user = readonly {
        password = clear readonly
        member = guest
}

}
#(我们需要在AD中建立用户和组,上边配置文件中的 tacacs用户用来查询AD。配置文件中还设定了2个组,一个是admin,一个是guest,设置不同的权限,我们需要再AD中设置相应的组,来对应这两个组。默认的前缀为tacacs,即在AD 中建立tacacsadmin组对应tacacs+中的admin组,tacacsguest组对应tacacs+中的guest组,使用mavis中的TACACS_GROUP_PREFIX参数可以修改此前缀。setenv REQUIRE_TACACS_GROUP_PREFIX = 1 的意思是只有属于有tacacs前缀的组的用户才能登陆了交换机。testa属于tacacsguest,testc属于tacacsadmin)

/usr/local/sbin/tac_plus -P /usr/local/etc/tac_plus.cfg
#测试tac_plus.cfg有没有错误
cp tac_plus/extra/etc_init.d_tac_plus /etc/init.d/tac_plus
chmod +x /etc/init.d/tac_plus
#复制tac_plus的脚本到/etc/init.d
/etc/init.d/tac_plus start
or
/usr/local/bin/tac_plus /usr/local/etc/tac_plus.cfg
#启动tac_plus

网络设备tacacs+配置

我司线上网络设备包括:cisco/h3c,不通品牌型号均不同:
H3C hwtacacs 配置

hwtacacs scheme XXXX(key)
primary authentication 192.168.1.100(TAcacs server IP)
primary authorization 192.168.1.100
primary accounting 192.168.1.100
key authentication cipher $c$3$a2e4q/H2M6r4Pw0T/jPldYtCqJppuQiZe6g=
key authorization cipher $c$3$axYZ0PzHI5l9+QVsTOcbfl+0PlVy7d0SoVw=
key accounting cipher $c$3$VEdNEyM+HH7ybBW8yAhk9l0Puo2R5siPDx4=
user-name-format without-domain
nas-ip 10.2.254.101

domain sinobbd-domain
authentication login hwtacacs-scheme XXXX local
authorization login hwtacacs-scheme XXXX local
accounting login hwtacacs-scheme XXXX local

line vty 0 10
authentication-mode scheme
user-role network-admin
user-role network-operator
protocol inbound ssh
idle-timeout 30 0

Nexus系列设备配置
feature tacacs+

tacacs-server host 192.168.1.100 key 7 "VertTBY"
aaa group server tacacs+ XXXX(key)
server 192.168.1.100
source-interface loopback0

aaa authentication login default group XXXX local
aaa authentication login console local
aaa authorization commands default group XXXX local
aaa accounting default group SinoBBD

IOS系列配置(ASR 1K, 3650,2960等)
aaa authentication login default group tacacs+ local
aaa authorization commands 1 default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
ip tacacs source-interface Loopback0
tacacs-server host 192.168.1.100
tacacs-server key 7 113A100B18302928

ASR 9K配置
tacacs source-interface Loopback0 vrf default
tacacs-server host 192.168.1.100 port 49
!
tacacs-server key 7 113A100B18302928
!
aaa accounting commands default start-stop group tacacs+
aaa authorization commands default group tacacs+
aaa authentication login console local
aaa authentication login default group tacacs+ local
aaa default-taskgroup root-system

line template T_vty
accounting commands default

weixin_34417635
关注
取代freeradiustacacsAAA配置详解-附件资源
03-05
取代freeradiustacacsAAA配置详解-附件资源
FreeRadius windos 认证服务器
09-12
安装完成后,配置FreeRadius的主配置文件`radiusd.conf`和认证、授权、计费模块的配置配置FreeRadius时,你需要定义以下关键部分: - **clients**:列出网络设备的IP地址和共享密钥,这些设备会向FreeRadius...
推荐开源项目:TacacsGUI - 网络设备的强大访问控制服务器
gitblog_00002的博客
06-04 498
推荐开源项目:TacacsGUI - 网络设备的强大访问控制服务器 项目地址:https://gitcode.com/tacacsgui/tacacsgui 项目介绍 TacacsGUI 是一个免费的网络设备访问控制服务器,提供了图形用户界面以管理和控制对这些设备的访问。该项目基于 Marc Huber 开发的 tacacs 服务守护程序,旨在实现认证(Authentication)、授权(Aut...
Tacacs+&freeradius安装
无效的博客
06-16 715
如果安装wget报错 Could not retrieve mirrorlist http://mirrorlist.centos.org/?原文链接:https://blog.csdn.net/weixin_43201868/article/details/125541861。如果是默认安装,make install成功后,/usr/local/sbin目录下生成tac_plus。1.查看tacacs最新版本 http://www.shrubbery.net/tac_plus/
RADIUS协议和TACACS+协议对比
最新发布
ducanwang的博客
08-14 335
综上所述,RADIUS协议和TACACS+协议各有优劣,选择哪种协议取决于具体的网络环境、安全需求和设备支持情况。在实际应用中,也可以考虑将两者结合使用,以充分发挥它们各自的优势。
Tacacs-各厂商交换机配置
曹世宏的博客
10-06 5395
其他文章: Tacacs+协议原理 Tacacs+服务搭建与配置详解 Tacacs+各厂商交换机配置 Tacacs+协议交互报文抓包示例 以下为整理的常见厂商的交换机tacacs+认证配置。 交换机配置Tacacs+认证思路 交换机全局开启Tacacs+认证 配置tacacs+认证模板,主要配置tacacs+认证的服务器地址,端口,密钥。 配置tacacs+的认证,授权,计费列表 全局内调用tacacs+认证方式 vty,console下调用tacacs+认证方式 华为交换机tacacs+认..
堡垒机软件有哪些
贺浦力特的博客
04-11 3450
堡垒机软件
Cisco/Ruijie/H3C/华为 AAA认证配置Tacacs+、Radius)
热门推荐
wailaizhu的博客
07-12 1万+
Cisco 配置步骤 Cisco Tacacs+测试 1、配置Tacacs+服务和认证授权方式 (config)#aaa new-model (config)#aaa authentication login tac-h0101group tacacs+ //认证 (config)#aaa authorization exec tac-h0101 group tacacs+ //授权 (config)#tacacs-server host 10.3.3.3 key Aa...
【网络安全】TACACS+协议
错位竞争,单点突破。
11-24 9177
1 TACACS+概述 1.1 什么是TACACS+ TACACS+(Terminal Access Controller Access Control System,终端访问控制器控制系统协议)是在TACACS协议的基础上进行了功能增强的安全协议。该协议与RADIUS协议的功能类似,采用客户端/服务器模式实现NAS与TACACS+服务器之间的通信。 1.2 TACACS+的用途 TACA
freeradius-server-3.0.11.tar.gz_freeradius 源码
09-23
1. **配置文件**:FreeRADIUS服务器的配置非常灵活,主要由`sites`目录下的配置文件组成,每个文件代表一个服务或认证场景。开发者可以通过修改这些文件来配置认证策略、服务器行为以及与网络设备的交互。 2. **源...
FreeRadius详解.zip
09-23
FreeRadius详解.zip是一个压缩包,其中包含了深入了解FreeRadius这一开源认证服务器的重要资源。FreeRadius是一个强大的、可扩展的Radius服务器,广泛应用于网络访问控制,包括无线802.1X认证、PPP拨号、虚拟私人...
TAC-PLUS:用于网络设备的 TACACS+ 服务器-开源
06-24
免费的 TACACS+ (tac_plus) 引擎(用 C++ 编写)和 webui (PHP) 允许网络管理员限制对网络设备的访问。 这个项目 (tacplus/webui) 曾经在 www.networkforums.net 上。 自旧网站上次发布以来,添加了新的和改进的功能。 ** 新发布的 WebUI ** 提高了可用性 报告中的更多搜索功能
TACACS+实验(设备管理)
phoenix1415的博客
09-20 9479
Tacacs+认证授权计费的实现全过程
Radius&Tacacs 安装及客户端交互示例
qq_34399969的博客
08-06 1001
FreeRadius 1.安装 官网wiki地址:https://wiki.freeradius.org/guide/Getting%20Started 安装命令:apt-get install freeradius service freeradius restart freeradius -X 可以实时监听freeradius运行状况 测试服务是否成功radtest tiger hello 127.0.0.1 0 testing123 2.配置文件路径 /etc/freeradius 配置users:"
nexus7000 AAA 基本配置
achejq的专栏
08-23 2667
feature tacacstacacs+ distribute tacacs-server host xxx.xxx.xxx.xxx key XXXXX tacacs+ commit aaa group server tacacs+ group_name
TACACS+配置
w5king的专栏
06-17 2676
 PxASW1(config)#aaa new-model PxASW1(config)#tacacs-server host 172.16.1.150 single-connection PxASW1(config)#tacacs-server key bcmsn PxASW1(config)#aaa authentication login primary group tacacs+ loca
思科交换机 ACS4.0 Tacacs+ 登陆验证
degrade 的博客
08-06 7545
為了學習 Cisco 交換機 Tacacs + 遠程登陸驗證功能, 搭建以下測試環境   目的: 學習 AAA 驗證模式, 設置成以下登陸方式 1) Console 口不需要驗證 2) vty 0 本地驗證 3) vty 1  5   遠程驗證   實現步驟: 一、安裝 Windows Server 2003 sp2 過程省略   二、安裝 Java 環境 jre-7
FreeRADIUS安装教程与配置详解
FreeRADIUS安装配置介绍是一份针对教育和演示目的的PPT,主要讲解了FreeRADIUS这款强大的开源RADIUS服务器软件的安装、配置和使用方法。该课程由唐可忠教授于2006年2月6日分享,主要内容包括以下几个部分: 1. 课程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值