스위치에서 TACACS+ 서버를 통해 AAA 인증을 받는 방법

TACACS+는 전체 메시지를 암호화하며 인증(Authentication)과 권한 부여(Authorization)를 분리할 수 있습니다. 사용자 이름과 비밀번호를 개별적으로 인증할 수 있으므로 RADIUS 방식보다 안전합니다. 높은 보안이 필요한 시나리오에 적합합니다.

참고: 현재 스위치의 802.1X 인증은 RADIUS 서버와 연동해야 사용할 수 있습니다. TACACS+ 서버에서는 인증 기능과 권한 부여 기능만 설정할 수 있으며, 청구 기능은 사용할 수 없습니다.

파트 1. Linux 시스템에서 간단한 TACACS + 서버 구축하기

1단계. TACACS+ 설치

TACACS+ 패키지는 Ubuntu 리포지터리에서 받을 수 있으며, root 모드에서 다음 명령을 입력하여 설치합니다.

apt-get install tacacs+

 

2단계. TACACS+ 구성

설치가 완료되면 사용자의 필요에 따라 TACACS+ 서버를 구성합니다. 기본 설치의 경우, 구성 파일을 /etc/tacacs+/tac_plus.conf에서 찾을 수 있습니다. 주로 사용하는 편집기로 파일을 열고 아래와 같은 변경 사항을 적용합니다.

vi /etc/tacacs+/tac_plus.conf

 

#아래 명령어를 입력하여 키를 강화합니다.

key = tplink2021

 

#아래 명령어를 입력하여 로컬 Linux 사용자를 위한 로컬 PAM을 활성화합니다.

default authentication = file /etc/passwd

 

#아래 명령어를 입력하여 나중에 사용자를 추가할 그룹을 정의합니다.

#이 예시에서는 3개의 그룹을 정의하고 각각의 권한을 부여했습니다. test1에는 관리자 권한, test2와 test3에는 사용자 권한을 부여했습니다. 하지만 test3은 미리 설정한 추가 비밀번호를 사용하면 관리자 권한을 얻을 수 있습니다. 비밀번호는 아래와 같이 tac_pwd 명령에 따라 자동으로 생성됩니다.

group = test1 {

    default service = permit

    service = exec {

    priv-lvl = 15

    }

}

group = test2 {

    default service = deny

    service = exec {

    priv-lvl = 1

    }

}

group = test3 {

default service = permit

login = file/etc/passwd

enable = Gbptgx46GpgrA

  service = exec {

  priv-lvl = 2

    }

}

 

#아래 명령어를 입력해 사용자를 정의하고 상기 그룹에 할당합니다.

user = manager {

member = test1

}

user = user1 {

member = test2

}

user = user2 {

member = test3

}

Priv-lvl에는 15개 단계가 있으며, 4가지의 스위치 관리 권한을 부여받을 수 있습니다.

1~4: 사용자 권한. 사전 설정된 권한을 보는 것만 가능하며, 권한을 편집하거나 수정할 수는 없습니다. 또한 L3 기능을 볼 수 없습니다.

5~ 9: 슈퍼 사용자 권한. VLAN, HTTPS 구성, Ping과 같은 일부 기능을 보고, 편집하고, 수정할 수 있습니다.

10~ 14: 운영자 권한. 슈퍼 사용자 권한에 더해 지연, MAC 주소, 액세스 제어, SSH 구성, 기타 기능도 수행할 수 있습니다.

15: 관리자 권한. 모든 기능을 보고, 편집하고, 수정할 수 있습니다.

 

#tac_plus.conf의 편집된 파일을 저장하고 종료한 후, Linux 시스템에서 관련 사용자를 생성하고 비밀번호를 설정합니다.

adduser manager

adduser user1

adduser user2

 

3단계. TACACS+ 시작

#포트 49가 수신을 개시하면 TACACS+ 시작이 성공한 것을 나타냅니다.

/etc/init.d/tacacs_plus start

참고: 구성 파일을 수정할 때마다 TACACS + 서버를 다시 시작하십시오.

파트 2. 스위치에서의 구성 과정

다음 그림의 토폴로지를 예로 들면, 로그인 스위치의 관리 인터페이스는 네트워크의 보안을 보장하기 위해 TACACS+ 서버의 인증을 받아야 합니다.

 

1단계. SECURITY > AAA > TACACS+ Config 메뉴를 선택하고 Add를 클릭하여 다음 페이지를 불러옵니다. 서버 IP를 192.168.0.100으로, 공유 키를 tplink2021로, 서버 포트를 49로 설정합니다.

 

2단계. SECURITY > AAA > Method Config 메뉴를 선택하고 Authentication Login Method Config 섹션을 클릭합니다. Method List Name을 default로 지정하고 Pri1을 tacacs로 선택합니다.

3단계. 같은 페이지에서 Authentication Enable Method Config를 클릭합니다. Method List Name을 default로 지정하고 Pri1을 tacacs로 선택합니다. Create를 클릭하여 비밀번호 인증 활성화에 method list를 사용하도록 설정합니다.

케이스 1. 모든 로그인 스위치 관리 방식을 TACACS+ 서버에서 인증받아야 하는 경우

SECURITY > AAA > Global Config 메뉴를 선택하여 다음 페이지를 불러옵니다. AAA Application Config section에서 모든 모듈의 Login Method와 Enable Method를 default로 설정합니다.

이 시점에서 스위치 구성이 완료됩니다. 이렇게 하면 클라이언트를 통해 기본 관리자 계정으로 관리 인터페이스에 접근할 때 HTTP나 telnet을 사용해 로그인할 수 없습니다.

 

 

케이스 2. telnet을 제외한 모든 로그인 스위치 관리 방식을 TACACS+ 서버에서 인증받아야 하는 경우

SECURITY > AAA > Method Config 메뉴에서 Authentication Login Method Config 섹션과 Authentication Enable Method Config 섹션을 모두 클릭합니다. Method List Name을 telnet으로 지정하고, 두 섹션 모두 Pri1을 local로 선택합니다.

SECURITY > AAA > Global Config 메뉴를 선택하여 다음 페이지를 불러옵니다. AAA Application Config에서 telnet 모듈의 Login Method와 Enable Method를 telnet으로 설정합니다.

이 시점에서 기본 관리자 계정으로 스위치에 로그인할 때 telnet을 사용할 수 있습니다.

 

 

케이스 3. 사용자 권한으로 로그인할 경우, TACACS+ 서버에서 관리자 비밀번호를 추가로 설정하고 아래와 같은 인터페이스에서 설정한 비밀번호를 입력하면 사용자 권한에서 관리자 권한으로 업그레이드할 수 있습니다.