スイッチでTACACS+サーバによるAAA認証を使用する場合

TACACS +は、メッセージ全体を暗号化し、認証と認可を分離することができます。ユーザー名とパスワードをそれぞれ確認することができ、一般的にradiusのセキュリティよりも優れていることから､高いセキュリティを必要とする場面に適しています。

注：現時点では、スイッチの802.1X認証は、radiusサーバーとの併用のみをサポートしています。TACACS+サーバの機能構成は、認証と承認のみで、課金機能は使用できません。

 

Part 1. Linuxシステム上にシンプルなTACACS +サーバを構築する

Step 1. TACACS+のインストール

TACACS+のパッケージはUbuntuのリポジトリにありますので、rootモードで以下のコマンドを入力してインストールします。

apt-get install tacacs+

 

ステップ2. TACACS+の設定

インストールが完了したら、必要に応じてTACACS+サーバーの設定を進めます。デフォルトのインストールでは、設定ファイルは次の場所にあります。 /etc/tacacs+/tac_plus.conf このファイルをお好みのエディタで開き、以下のように変更します。

vi /etc/tacacs+/tac_plus.conf

 

#Make this a strong key

キー = tplink2021

 

#ローカルのPAMを使用することで、ローカルのLinuxユーザを使用することができます

default authentication = file /etc/passwd

 

#あとでユーザーを追加するグループを定義する

#この例では、3つのグループを定義し、それぞれの権限を割り当てています。test1は管理者権限、test2とtest3はユーザー権限ですが、test3は追加パスワードを設定することで管理者権限を取得できます。パスワードは以下のようにtac_pwdというコマンドで自動的に生成されます。

group = test1 {

    default service = permit

    service = exec {

    priv-lvl = 15

    }

}

group = test2 {

    default service = deny

    service = exec {

    priv-lvl = 1

    }

}

group = test3 {

default service = permit

login = file/etc/passwd

enable = Gbptgx46GpgrA

  service = exec {

  priv-lvl = 2

    }

}

 

#ユーザーの定義と上記のグループへの割り当て

user = manager {

member = test1

}

user = user1 {

member = test2

}

user = user2 {

member = test3

}

Priv-LVLには15のレベルがあり、スイッチの管理権限が4種類あります。

1~4：ユーザー権限、閲覧・設定のみ可能で、編集・変更はできず、L3機能も閲覧できない。

5~9：スーパーユーザー権限。VLAN、HTTPS config、Pingなど、一部の機能の閲覧、編集、変更が可能。

10~14：オペレーター権限。スーパーユーザー権限に基づいて、ラグ、MACアドレス、アクセスコントロール、SSHコンフィグなどの機能も実行できる

15: 管理者（admin）権限、すべての機能を表示、編集、変更することができます。

 

#編集したtac_plus.confのファイルを保存して終了し、Linuxシステム上で関連するユーザーを作成し、パスワードを設定します。

adduser manager

adduser user1

adduser user2

 

Step 3. TACACS+スタート

# 49番ポートのlisteningを開始した場合､起動が成功したことを示しています｡

/etc/init.d/tacacs_plus start

注意：設定ファイルを変更するたびに、TACACS＋サーバーを再起動してください。

 

Part 2. スイッチ上の設定

下図のトポロジーを例にとると、ネットワークのセキュリティを確保するために、ログインスイッチの管理インターフェースをTACACS +サーバで認証する必要があります。

Step 1.「 SECURITY」→「AAA」→「TACACS+ Config」の順に選択し、「Add」をクリックして次のページを表示します。サーバーIPを192.168.0.100、共有キーをtplink2021、サーバーポートを49に設定します。

Step 2. 「SECURITY」→「AAA」→「Method Config」の順に選択し、「Authentication Login Method Config」をクリックします。Method List Nameをdefaultとし、Pri1をTACACSとします。

ステップ3. 同じページで、「Authentication Enable Method Config」をクリックします。Method List Nameをデフォルトで指定し、Pri1をtacacsとして選択します。Createをクリックすると、Enable password authenticationのメソッドリストが設定されます。

ケース 1. すべてのログインスイッチ管理方法をTACACS+サーバーで認証する必要がある場合

メニュー「SECURITY」→「AAA」→「Global Config」を選択し、次のページを読み込みます。AAA Application Configセクションで、「all Modules the Login Method」と「Enable Method」をデフォルトで選択します。

この時点で、スイッチの設定が完了します。HTTPもTELNETも、クライアントを介してデフォルトのadminアカウントで管理インターフェイスにログインすることはできません。

ケース2.Telnet以外のログインスイッチ管理方法は、TACACS＋サーバーによる認証が必要です。

メニュー「SECURITY」→「AAA」→「Method Config」を選択し、「Authentication Login Method Config」セクションと「Authentication Enable Method Config」セクションの両方をクリックします。Method List Nameをtelnetに、Pri1をlocalに設定します。

SECURITY＞AAA＞Global Configの順に選択すると、次のページが表示されます。AAA Application Configで、Module of telnetをLogin Methodに、Enable Methodにtelnetを選択します。

この時点で、デフォルトのadminアカウントを使ってtelnetでスイッチにログインすることができます。

 

ケース 3. ユーザー権限でログインする場合は、TACACS＋サーバーに管理者パスワードを追加設定し、設定したパスワードを以下のインターフェースに入力することで、ユーザー権限から管理者権限にアップグレードすることができます。