Xác thực login và ghi log command bằng TACACS
Hôm trước mình đã viết bài cách xác thực login router bằng Free Radius.
Trong bài này mình trình bày về Tacacs+, là 1 chuẩn do Cisco phát triển, nhưng giờ là chuẩn chung. Nhiều hãng có thể dùng được.
Nội dung:
- Cài đặt TACACS+ Server trên Ubuntu 18
- Khai báo username local trên router cisco, khi đứt kết nối với server Tacacs
- Tạo user để xác thực trên bằng Tacacs+
- Khai báo xác thực trên router cisco (kèm theo lưu log lệnh user đã gõ vào router)
- Test thử
Cài đặt:
sudo apt-get update
sudo apt-get install tacacs+
Done!
Tạo user local trên router cisco:
## Khai trước đề phòng trường hợp khai xong AAA không login được thì dùng account local:
username my_local password 123456
username my_local privilege 15
Tạo user trên tacacs để xác thực login router:
sudo cp /etc/tacacs+/tac_plus.conf /etc/tacacs+/tac_plus.conf_bkp ##backup file gốc
nano /etc/tacacs+/tac_plus.conf ##edit file này
##tạo giá trị cho key
key = cisco123 ## là giá trị router sẽ khai báo để khớp
## Tạo user tên là hary và thuộc vào group thuc_tap
user = hary {
login = cleartext “hary123” ##password để login
enable = cleartext “abc123” ##password để vào mode enable
member = thuc_tap
}
## Tạo user tên là hainm và thuộc vào group admin
user = hainm {
login = cleartext “hai123”
enable = cleartext “123456” ##password để vào mode enable
member = admin
}
##Định nghĩa các group thuc_tap và admin
group = thuc_tap {
service = exec {
priv-lvl = 2 } #cho quyền là level 2
group = admin {
service = exec {
priv-lvl = 15 }#admin full quyền
Save file lại (ấn ctrl S, rồi ctrl X) và restart dịch vụ Tacacs+
service tacacs_plus restart
Để xem dịch vụ có UP không thì đánh lệnh:
systemctl status tacacs_plus.service
Khai báo trên router Cisco , xác thực dùng Tacacs+:
aaa new-model
tacacs server TACACS_LAB
address ipv4 192.168.177.129 ##IP của TACACS
key cisco123
aaa authentication login default tacacs+ local ## xác thực login bằng Tacacs+
aaa authorization exec default tacacs+ local ##để xác thực mode enable bằng Tacacs+
aaa accounting commands 15 default stop-only group tacacs+ ## Ghi lại các lệnh user level 15 đã gõ vào file /var/log/tac_plus.acct
Test lại:
Từ Router R2 telnet sang thử R1 dùng account khai trên Tacacs xem ok không. Sau đó thử shutdown cổng nối lên Tacacs server và telnet dùng account local.
Xem khóa học CCNP routing tại: bit.ly/hai-ccnp
Bài viết cùng danh mục
Danh mục bài viết
- Juniper
- Tài Nguyên LAB
- Wireshark
- FeedBack
- Multicast lab
- Security Infa
- Checkpoint
- Lab OSPF
- Router Logging
- LAB CCNA CCNP CÓ GIẢI
- DMVPN
- Mikrotik
- MPLS
- PFSENSE
- DUMP CCNA
- Điều khoản
- F5 LTM
- MONITOR NETWORK
- TOOL HỌC CCNA
- TƯ VẤN KHÓA HỌC
- PYTHON SCRIPT HỮU ÍCH
- IPv6
- Quality of Service
- QoS
- VXLAN
- SDWAN
- ISE
- Fortigate
- BGP
- MINH HỌA KHÁI NIỆM TRONG CCNA
- Bài tập CCNA CCNP (support Học viên)
- Phỏng vấn IT chứng khoán
- Layer2 CCNA
- Bài tập thiết kế mạng CCNA
- Linux
- EEM SCRIPT
- ASA LAB
- DHCP
- NEXUS
- Giao thức IS IS
- ANSIBLE
- PALO ALTO
- ARUBA SWITCH
- CÂU HỎI TỪ ĐỀ THI THẬT
- CEH cho network admin
- CCNA HIỆU ỨNG ĐỘNG