Comment réaliser l'authentification AAA via le serveur TACACS + sur le switch
T1600G-18TS , TL-SG2008P , TL-SG2210P , T2500G-10TS , SG2210MP , TL-SX3008F , TL-SL2428P , TL-SX3016F , S4500-8G , SG2218 , SG3428 , TL-SG3452P , TL-SG3428X , SL2428P , S4500-8GHP2F , T3700G-52TQ , S4500-16G2F , T2600G-18TS , TL-SG2210MP , SG3210 , SG3452 , TL-SG3210XHP-M2 , S5500-24GP4XF , T1600G-52PS , TL-SG2428P , T1600G-52TS , T3700G-28TQ , T1500G-8T , SG2428LP , Festa FS308GP , SX3008F , SG3428MP , SG3428X , T2600G-52TS , SG3452P , SX3016F , SG2428P , SG2008P , TL-SG3428 , TL-SG2218 , SG2210P , T1700X-16TS , S5500-8MHP2XF , TL-SG3428MP , TL-SG2008 , T1700G-28TQ , T1500-28PCT , T2600G-28SQ , TL-SG3210 , TL-SG3452 , Festa FS310GP , SG3428XMP , TL-SG3428XMP
Les mises à jour récentes peuvent avoir élargi l'accès aux fonctionnalités abordées dans cette FAQ. Visitez la page d'assistance de votre produit, sélectionnez la version matérielle appropriée pour votre appareil et consultez la fiche technique ou la section du micrologiciel pour connaître les dernières améliorations ajoutées à votre produit.
TACACS + crypte l'ensemble du message, et l'authentification et l'autorisation peuvent être séparées. Le nom d'utilisateur et le mot de passe peuvent être vérifiés respectivement, ce qui est mieux que la sécurité de radius. Il convient aux scénarios nécessitant une sécurité élevée.
Remarque : À l'heure actuelle, l'authentification 802.1X du commutateur ne prend en charge que l'utilisation avec le serveur Radius. La configuration fonctionnelle du serveur TACACS + ne comprend que l'authentification et l'autorisation, et la fonction de facturation ne peut pas être utilisée.
Partie 1. Construire un simple serveur TACACS + sur un système Linux
Étape 1. Installation de TACACS+
Le package TACACS+ est disponible dans les référentiels Ubuntu, entrez la commande suivante en mode root pour installer
apt-get install tacacs+
Étape 2. Configuration TACACS+
Une fois celui-ci installé, nous procédons à la configuration du serveur TACACS+ selon nos besoins. Sur une installation par défaut, le fichier de configuration se trouve ici /etc/tacacs+/tac_plus.conf Ouvrez le fichier avec votre éditeur préféré et apportez les modifications ci-dessous.
vi /etc/tacacs+/tac_plus.conf
#Faites-en une clé forte
clé = tplink2021
# Utilisation de PAM local qui nous permet d'utiliser des utilisateurs Linux locaux
authentification par défaut = fichier /etc/passwd
#Définir les groupes auxquels nous ajouterons des utilisateurs plus tard
#Dans cet exemple, j'ai défini 3 groupes et leur attribue des privilèges respectifs. Test1 est un privilège d'administrateur, test2 et test3 sont un privilège d'utilisateur, mais test3 peut obtenir un privilège d'administrateur en fonction du mot de passe supplémentaire défini. Le mot de passe est généré automatiquement selon la commande tac_pwd comme ci-dessous.
groupe = test1 {
service par défaut = permis
service = exec {
priv-lvl = 15
}
}
groupe = test2 {
service par défaut = refuser
service = exec {
priv-lvl = 1
}
}
groupe = test3 {
service par défaut = permis
login = file/etc/passwd
activer = Gbptgx46GpgrA
service = exec {
priv-lvl = 2
}
}
#Définir mes utilisateurs et les affecter aux groupes ci-dessus
utilisateur = gestionnaire {
membre = test1
}
utilisateur = utilisateur1 {
membre = test2
}
utilisateur = utilisateur2 {
membre = test3
}
Priv-lvl a 15 niveaux et quatre autorisations de gestion différentes sur le commutateur :
1 ~ 4:Les autorisations utilisateur , qui ne peuvent être affichées et définies, ne peuvent pas être éditées et modifiées, et les fonctionnalités L3 ne peuvent pas être affichées
5 ~ 9 : autorisation super utilisateur , vous pouvez afficher, éditer et modifier certaines fonctions, telles que VLAN, configuration HTTPS, Ping, etc.
10~14 : autorisations de l'opérateur . Sur la base des autorisations de super utilisateur, vous pouvez également effectuer un décalage, une adresse MAC, un contrôle d'accès, une configuration SSH et d'autres fonctions
15 : privilèges d' administrateur , vous pouvez afficher, éditer et modifier toutes les fonctions
#Enregistrez et quittez le fichier édité de tac_plus.conf , créez des utilisateurs pertinents et définissez des mots de passe sur le système Linux.
gestionnaire d'ajout d'utilisateur
adduser user1
adduser user2
Étape 3. Démarrage de TACACS+
# Commencez à écouter le port 49, indiquant que le démarrage est réussi.
/etc/init.d/tacacs_plus démarrer
Remarque : Après chaque modification du fichier de configuration, redémarrez le serveur TACACS +.
Partie 2. Configurations sur le switch
En prenant la topologie de la figure suivante comme exemple, l'interface de gestion du commutateur de connexion doit être authentifiée par le serveur TACACS + pour assurer la sécurité du réseau.
Étape 1. Choisissez le menu SECURITY > AAA > TACACS+ Config et cliquez sur Add pour charger la page suivante. Configurez l'IP du serveur comme 192.168.0.100, la clé partagée comme tplink2021, le port du serveur comme 49.
Étape 2. Choisissez le menu SECURITY > AAA > Method Config et cliquez sur dans la section Authentication Login Method Config . Spécifiez le nom de la liste de méthodes par défaut et sélectionnez le Pri1 comme tacacs.
Étape 3. Sur la même page, cliquez sur dans la configuration de méthode d'enable d'authentification . Spécifiez le nom de la liste de méthodes par défaut et sélectionnez le Pri1 comme tacacs. Cliquez sur Créer pour définir la liste des méthodes pour l'authentification par mot de passe Activer
Cas 1. Toutes les méthodes de gestion des commutateurs de connexion doivent être authentifiées par le serveur TACACS +
Choisissez le menu SECURITE > AAA > Global Config pour charger la page suivante. Dans la section Configuration de l'application AAA , sélectionnez tous les modules la méthode de connexion et la méthode d'activation par défaut.
À ce stade, la configuration du commutateur est terminée. Ni HTTP ni TELNET ne peuvent se connecter à l'interface de gestion avec le compte administrateur par défaut via le client.
Cas 2. À l'exception de Telnet, toutes les méthodes de gestion des commutateurs de connexion doivent être authentifiées par le serveur TACACS +.
Choisissez le menu SECURITY > AAA > Method Config et cliquez dans les sections Authentication Login Method Config et Authentication Enable Method Config . Spécifiez le nom de la liste de méthodes comme telnet et sélectionnez le Pri1 comme local dans les deux sections.
Choisissez le menu SECURITE > AAA > Global Config pour charger la page suivante. Dans la configuration d'application AAA , sélectionnez le module de telnet, la méthode de connexion et la méthode d'activation en tant que telnet.
À ce stade, vous pouvez utiliser le compte administrateur par défaut pour vous connecter au commutateur via telnet.
Cas 3. Lors de la connexion avec l'autorité utilisateur, définissez un mot de passe administrateur supplémentaire sur le serveur TACACS + et entrez le mot de passe défini dans l'interface ci-dessous pour passer de l'autorité utilisateur à l'autorité administrateur.
FAQ connexes
FAQs associées
Est-ce que ce FAQ a été utile ?
Vos commentaires nous aideront à améliorer ce site.
Quelle est votre préoccupation avec cet article ?
- Mécontent du produit
- Trop compliqué
- Titre déroutant
- Ne s'applique pas à moi
- Trop vague
- Autre
Comment pouvons-nous nous améliorer ?
Merci
Pour nous écrire.
Cliquer ici pour contacter le service support TP-Link.
Ce site Web utilise des cookies pour améliorer la navigation sur le site Web, analyser les activités en ligne et offrir aux utilisateurs la meilleure expérience sur notre site Web. Vous pouvez vous opposer à tout moment à l'utilisation de cookies. Vous pouvez obtenir plus d'informations dans notre politique de confidentialité .
Ce site Web utilise des cookies pour améliorer la navigation sur le site Web, analyser les activités en ligne et offrir aux utilisateurs la meilleure expérience sur notre site Web. Vous pouvez vous opposer à tout moment à l'utilisation de cookies. Vous pouvez obtenir plus d'informations dans notre politique de confidentialité .
Cookies basiques
Ces cookies sont nécessaires au fonctionnement du site Web et ne peuvent pas être désactivés dans vos systèmes.
TP-Link
accepted_local_switcher, tp_privacy_base, tp_privacy_marketing, tp_smb-select-product_scence, tp_smb-select-product_scenceSimple, tp_smb-select-product_userChoice, tp_smb-select-product_userChoiceSimple, tp_smb-select-product_userInfo, tp_smb-select-product_userInfoSimple, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType
Chat en direct
__livechat, __lc2_cid, __lc2_cst, __lc_cid, __lc_cst, CASID
Youtube
id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ
Cookies d'analyse et marketing
Les cookies d'analyse nous permettent d'analyser vos activités sur notre site Web pour améliorer et ajuster les fonctionnalités de notre site Web.
Les cookies marketing peuvent être définis via notre site Web par nos partenaires publicitaires afin de créer un profil de vos intérêts et pour vous montrer des publicités pertinentes sur d'autres sites Web.
Google Analytics & Google Tag Manager
_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>
Google Ads et DoubleClick
test_cookie, _gcl_au
Meta Pixel
_fbp
Crazy Egg
cebsp_, _ce.s, _ce.clock_data, _ce.clock_event, cebs
Hotjar
OptanonConsent, _sctr, _cs_s, _hjFirstSeen, _hjAbsoluteSessionInProgress, _hjSessionUser_14, _fbp, ajs_anonymous_id, _hjSessionUser_<hotjar-id>, _uetsid, _schn, _uetvid, NEXT_LOCALE, _hjSession_14, _hjid, _cs_c, _scid, _hjAbsoluteSessionInProgress, _cs_id, _gcl_au, _ga, _gid, _hjIncludedInPageviewSample, _hjSession_<hotjar-id>, _hjIncludedInSessionSample_<hotjar-id>
lidc, AnalyticsSyncHistory, UserMatchHistory, bcookie, li_sugr, ln_or