Настройка сервера TACACS+

Параметры сервера TACACS+ задаются в ветке конфигурационного дерева tacacs.

Для обозначения группы параметров TACACS+ вводится параметр – tacacsplus. В рамках группы <tacacsplus>, необходимо настроить список серверов, используемых Устройством.

Для обозначения списка серверов вводится параметр – server.

В списке серверов <server> настраиваются имя и параметры серверов TACACS+. Имени сервера TACACS+ <NAME> присваивается произвольное значение (например, TACACS_SERVER_1). В командах следует указывать только значение имени сервера.

Параметры сервера TACACS+:

• address – адрес сервера TACACS+;
• password-auth-protocol – установка на сервер одной из функций ААА: аутентификация / авторизация / учет / все. Возможные для использования протоколы аутентификации:
  • PAP – протокол аутентификации, предусматривающий отправку имени пользователя и пароля на сервер удалённого доступа открытым текстом (без шифрования);

• CHAP – протокол аутентификации с косвенным согласованием, предусматривающий алгоритмом проверки подлинности и передачу не самого пароля пользователя, а косвенных сведений о нём;
• TACACS-login – имя пользователя в системе;

• port – номер порта сервера TACACS+. По умолчанию 49.;
• shared-secret – общий ключ, известный только TACACS-клиенту и серверу в безопасном обмене данными. Администратору сервера TACACS+ следует настроить секретные ключи длиной минимум 16 символов.;
• timeout – количество секунд, в течение которых устройство будет ждать ответа от каждого сервера TACACS+, перед попыткой использовать другой сервер. По умолчанию 5. Диапазон допустимых значений от 1 до 300.

Значения параметров задаются командой set. Синтаксис команды настройки сервера TACACS+:

set tacacs tacacsplus server <NAME> {address <IP-ADDRESS>} [password-auth-protocol <PROTOCOL_TYPE>] [port <NUM>] {shared-secret <NUM>} [timeout <NUM>]

Пример команды:

admin# set tacacs tacacsplus server TACACS_SERVER_1 
set tacacs tacacsplus server TACACS_SERVER_1 address 192.168.100.100
set tacacs tacacsplus server TACACS_SERVER_1 password-auth-protocol TACACS-login
set tacacs tacacsplus server TACACS_SERVER_1 port 1234
set tacacs tacacsplus server TACACS_SERVER_1 shared-secret 12345
set tacacs tacacsplus server TACACS_SERVER_1 timeout 10

Настройка прав доступа для сервера TACACS+ 

Права доступа для сервера TACACS+ задаются через сервис ecoswitch-exec.

В рамках сервиса ecoswitch-exec указываются возможности группы пользователей <group> (просмотр или просмотр/изменение), а также разделы конфигурации Устройства, которые можно просматривать и изменять.

Параметры настройки права доступа для сервера TACACS+:

• group – группы пользователей с определённым уровнем привилегий;
  • service – наименование сервиса, в рамках которого указываются возможности группы пользователей;  
    • allow-to-view-and-control – название разделов конфигурации, к которым роли предоставляется права просмотра и изменения: 'mng-if, aaa, ntp ...' или 'all' - для выбора всех подсистем;
    •  allow-to-view – название разделов конфигурации, к которым роли предоставляется право просмотра: 'mng-if, aaa, ntp ...' или 'all' - для выбора всех подсистем.
  • user – имя пользователя:   
    • member – название группы пользователей, членом которого является данный пользователь;
    • login – логин пользователя. 

Фрагмент конфигурационного файла "/etc/tacacs+/tac_plus.conf":

group = superadmin {
      service = ecoswitch-exec {
        allow-to-view-and-control = tacacs|snmp|rdp-firmware|prometheus|port|ntp|mng-if|logger|lag|hardware-info|aaa
        allow-to-view = tacacs|snmp|rdp-firmware|prometheus|port|ntp|mng-if|logger|lag|hardware-info|aaa
      }
    }
user  = admin1 {
      member = superadmin 
      login = cleartext admin1
    }

Роли сервера TACACS+ независимы от ролей, настроенных непосредственно на Устройстве.
ВНИМАНИЕ! Если на Устройстве настроен TACACS+, то аутентифицироваться с помощью локальной роли (логина и пароля, настроенных на Устройстве) невозможно. Нет правила, позволяющего зайти на Устройство при недоступности сервера TACACS+.