Cisco Switch ve Router Üzerinde Tacacs+Yapılandırması
1. Genel Bakış
Tacacs+, anahatlarıyla kimlik doğrulama, yetkilendirme, hesap yönetimi gibi AAA servislerini kullanan bir güvenlik protokolüdür. Ağ cihazlarına merkezi bir kimlik doğrulama olarak kullanılır. Ayrıca, ağ cihazlarıyla çalışmak için belirli bir kullanıcıya merkezi erişim ile belirli bir yetkilendirme sağlayabilir. Hesap yönetimi ile, ayrıcalıklı kullanıcılar tarafından yürütülen tüm eylemleri günlüğe kaydederek zorunlu denetim günlüklerini verir.
Bu örnekte, Cisco router üzerinde Tacacs+ ile güvenlik yapılandırması ve bunun Cisco switch üzerine uyarlaması anlatılacaktır.
2. Başlarken
a. Ağ altyapınızda halihazırda Tacacs+ sunucunuz olduğunu ve çalıştığını varsayıyoruz. Eğer yoksa bağlantıyı takip ederek yapabilirsiniz.
1.RHEL / CentOS 7 üzerinde Tacacs+ Yapılandırması ve Kullanıcı Kimlik Doğrulaması
b. Cisco router veya switch üzerinde SSH servisinin yapılandırıldığını varsayıyoruz. Eğer yoksa bağlantıyı takip ederek yapabilirsiniz.
Cisco Switch ve Router Üzerinde SSH Yapılandırması
3. Tacacs+ Sunucu Yapılandırması
Router veya switch üzerindeki IOS yazılımında iki şekilde Tacacs+ yapılandırması yapabilirsiniz. IOS sürümünüz 12.x ise yapılandırma komutlarınız aşağıdaki gibi olmalıdır.
# tacacs-server host 192.168.171.13 # tacacs-server timeout 10 # tacacs-server key TS@123
Eğer IOS Sürümünüz 15.x. ise yapılandırma komutlarınız aşağıdaki gibi olmalıdır.
# tacacs server TS-AAA address ipv4 192.168.171.13 key TS@123 timeout 10
Daha sonra, aşağıdaki komutu uygulayarak Tacacs+ sunucusunda kimlik doğrulamasını test edelim.
# test aaa group tacacs+ tom 4444 legacy
4. Kimlik Doğrulama Yapılandırması
Şimdi Cisco router veya switch’e Tacacs+ sunucusu ile kullanıcı kimlik doğrulamasını yapmasını söyleyelim. Tacacs+ sunucusuna erişilememesi durumunda yerel hesaplarla denetim yapılır.
# aaa authentication login default group tacacs+ local Attempting authentication test to server-group tacacs+ using tacacs+ User was successfully authenticated.
5. Yetkilendirme Yapılandırması
Router veya switch’e yetkilendirme komutlarını uyguladığımızda, giriş yapan kullanıcı Tacacs+ sunucusunda izinleri dahilinde komut çalıştırabilir. If-Authenticated seçeneği bu durumda büyük önem arz etmektedir, çünkü router veya switch’in Tacacs+ sunucusuna ulaşamaması durumunda, konsoldan bile herhangi bir komut çalıştıramazsınız. If-Authenticated seçeneği uygulanmışsa, Tacacs+ sunucusuna ulaşılamadığında, router ya da switch ile çalışmaya devam edebiliriz.
# aaa authorization exec default group tacacs+ local if-authenticated # aaa authorization commands 0 default group tacacs+ local if-authenticated # aaa authorization commands 15 default group tacacs+ local if-authenticated # aaa authorization console
6. Hesap Denetimi Yapılandırması
Hesap denetimini bir router veya switch üzerinde aktif ettiğimizde, kullanıcı tarafından çalıştırılan tüm komutları Tacacs+ sunucusu günlük kaydına kaydetmeye başlayacaktır. Yani, artık ağ cihazlarımızda kimin ne yaptığını bilebiliriz.
# aaa accounting exec default start-stop group tacacs+ # aaa accounting commands 0 default start-stop group tacacs+ # aaa accounting commands 15 default start-stop group tacacs+
7. Test Edin
Tacacs+ yapılandırmanızda 3 konuyu test etmeniz büyük önem taşımaktadır:
- Cisco router veya switch’e Tacacs+ sunucusundaki ayrıcalıklı izinlerin olduğu hesapla giriş yapın.
- Cisco router veya switch’e Tacacs+ sunucusundaki kısıtlı izinlerin olduğu hesapla giriş yapın ve bu hesabın yalnızca o kullanıcıya izin verilen komutları çalıştırabildiğine emin olun.
- Router veya switch’in Tacacs+ sunucusuyla olan bağlantısını koparın ve SSH veya console bağlantısıyla yerel kullanıcı veritabanını kullandığından emin olun. Tacacs+ sunucusuna erişilememesi durumunda cihazlarımızı yönetebilmemiz için bu son derece önemlidir.
8. Sonuç
Artık Cisco router veya switch üzerinde Tacacs+ yapılandırmasını yapabilecek bilgiye sahipsiniz. Tacacs+, ağlara merkezi erişim sağlamak için kullanılan, tek güvenlik protokolüdür. Örneğimiz umarım bilgilendirici olmuştur. Soru veya öneriniz olursa, yorumlarınızı aşağıda yazabilirsiniz.
