Cómo configurar la autenticación TACACS+ en los conmutadores a través del controlador Omada
Contenido
Este artículo describe cómo implementar la autenticación TACACS+ en el conmutador a través de plantillas CLI en el controlador Omada.
- Interruptores Omada Smart / L2+ / L3
- Controlador Omada (controlador de software/controlador de hardware/controlador basado en la nube, versión 5.9 y superior)
Para mejorar la seguridad de la red, podemos usar TACACS+ para implementar el control de acceso en los conmutadores. Por ejemplo, cuando un cliente conectado a un conmutador necesita acceder al conmutador a través del protocolo SSH, primero debe pasar por el proceso de autenticación. En la siguiente topología de red, TACACS+ se puede configurar en el controlador Omada a través de plantillas CLI para garantizar que solo los usuarios autenticados puedan acceder al conmutador.
Paso 1. Instale el servidor TACACS+ en Ubuntu 20.04 (o superior) siguiendo estos pasos:
1. Descargue el último archivo fuente del servidor TACACS+ en ftp://ftp.shrubbery.net/pub/tac_plus.
2. Descomprima el archivo fuente: tar -zxvf tacacs-F4.0.4.28.tar.gz
3. Acceda a los archivos descomprimidos: cd /path/to/tacacs-F4.0.4.28
4. Ingrese ./configure . Si aparece un mensaje de error, ejecute el comando sudo apt-get install libwrap0-dev flex bison .
5. Ejecute sudo make install .
6. Agregue una ruta de inclusión: sudo vi /etc/ld.so.conf . Después de la modificación, guarde la configuración y salga. Vaya a la terminal para ejecutar sudo ldconfig .
Paso 2. Configurar el servidor TACACS+.
1. Utilice el comando sudo mkdir /etc/tacacs+ para crear una nueva carpeta.
2. Cree un archivo de configuración tac_plus.conf en la ruta /etc/tacacs+: toque tac_plus.conf
3. Modifique el archivo de configuración tac_plus.conf : sudo vi /etc/tacacs+/tac_plus.conf
Puede copiar las siguientes líneas de comando al archivo de configuración tac_plus.conf como intento.
#Haz que esta sea una clave fuerte
clave = tplink_123
# Usando PAM local que nos permite usar usuarios locales de Linux
autenticación predeterminada = archivo /etc/passwd
#Definir grupos a los que agregaremos usuarios más adelante
grupo = prueba1 {
servicio predeterminado = permiso
servicio = exec {
nivel privado = 15
}
}
grupo = prueba2 {
servicio predeterminado = denegar
servicio = exec {
nivel privado = 1
}
}
grupo = prueba3 {
servicio predeterminado = permiso
inicio de sesión = archivo /etc/contraseña
servicio = exec {
nivel privado = 2
}
}
#Definir mis usuarios y asignarlos a los grupos anteriores
usuario = administrador {
miembro = prueba1
}
usuario = usuario1 {
miembro = prueba2
}
usuario = usuario2 {
miembro = prueba3
}
Guarde y salga del archivo editado de tac_plus.conf, cree usuarios relevantes y configure contraseñas en el sistema Linux.
Priv-lvl tiene 15 niveles y cuatro permisos de administración diferentes en el conmutador:
1~4: Permiso de usuario. Los usuarios solo pueden ver, pero no editar ni modificar la configuración. No se pueden ver las funciones de L3.
5~9: Permiso de superusuario. Los superusuarios pueden ver, editar y modificar algunas funciones, como VLAN, configuración HTTPS, ping, etc.
10~14 : Permiso de operador. Con el permiso de superusuario, los operadores también pueden configurar LAG, dirección MAC, control de acceso, configuración SSH y otros ajustes.
15: Privilegios de administrador. El administrador puede ver, editar y modificar todas las funciones.
Nota: Los conmutadores que han sido adoptados por el controlador Omada no se pueden configurar a través de CLI.
Paso 3. Reinicie el servidor TACACS+ y agregue usuarios. Cada vez que modifique el archivo tac_plus.conf, deberá reiniciar el servidor TACACS+. Utilice el comando sudo tac_plus -C /etc/tacacs+/tac_plus.conf para reiniciar y el comando adduser para agregar usuarios y establecer contraseñas en el sistema Linux.
administrador de adduser
adduser usuario1
adduser usuario2
Nota: Aquí “manager”, “user1” y “user2” corresponden respectivamente a los usuarios configurados en el archivo tac_plus.conf. De manera similar, para agregar nuevos usuarios, es necesario agregarlos en el archivo tac_plus.conf y reiniciar el servidor TACACS+.
Paso 4. Configure las plantillas CLI en el controlador Omada. Vaya a Configuración > Configuración CLI > CLI del dispositivo y haga clic en Crear nuevo perfil CLI del dispositivo .
Especifique el nombre e ingrese los siguientes comandos CLI. Los comandos CLI que se usan aquí se utilizan para asignar la dirección IP, el puerto y el secreto de uso compartido al servidor TACACS+ y para implementar la autenticación TACACS+ cuando se accede al conmutador a través del protocolo SSH.
servidor tacacs host 192.168.0.30 puerto 49 tiempo de espera 5 clave 0 tplink_123
Prueba de inicio de sesión de autenticación AAA de Tacacs
línea ssh
Prueba de autenticación de inicio de sesión
Seleccione el conmutador de destino en la ventana emergente Elegir dispositivo y haga clic en Confirmar . Luego, haga clic en Guardar para guardar la configuración.
Vaya a Configuración > Servicios > SSH para habilitar el inicio de sesión SSH y haga clic en Aplicar .
Al utilizar PuTTY para acceder al conmutador a través de SSH, se requiere el nombre de usuario y la contraseña configurados en el servidor TACACS+ para iniciar sesión.
Ha configurado correctamente el servidor TACACS+ para controlar el acceso del cliente al conmutador.
Para conocer más detalles de cada función y configuración, vaya al Centro de Descargas para descargar el manual de su producto.
¿Es útil este artículo?
Tus comentarios nos ayudan a mejorar esta web.