Cisco Switch ve Router Üzerinde Tacacs+ Yapılandırması

Cisco Switch ve Router Üzerinde Tacacs+Yapılandırması

1. Genel Bakış

 

Tacacs+, anahatlarıyla kimlik doğrulama, yetkilendirme, hesap yönetimi gibi AAA servislerini kullanan bir güvenlik protokolüdür. Ağ cihazlarına merkezi bir kimlik doğrulama olarak kullanılır. Ayrıca, ağ cihazlarıyla çalışmak için belirli bir kullanıcıya merkezi erişim ile belirli bir yetkilendirme sağlayabilir. Hesap yönetimi ile, ayrıcalıklı kullanıcılar tarafından yürütülen tüm eylemleri günlüğe kaydederek zorunlu denetim günlüklerini verir.

Bu örnekte, Cisco router üzerinde Tacacs+ ile güvenlik yapılandırması ve bunun Cisco switch üzerine uyarlaması anlatılacaktır.

 

2. Başlarken

 

a. Ağ altyapınızda halihazırda Tacacs+ sunucunuz olduğunu ve çalıştığını varsayıyoruz. Eğer yoksa bağlantıyı takip ederek yapabilirsiniz.

1.RHEL / CentOS 7 üzerinde Tacacs+ Yapılandırması ve Kullanıcı Kimlik Doğrulaması

b. Cisco router veya switch üzerinde SSH servisinin yapılandırıldığını varsayıyoruz. Eğer yoksa bağlantıyı takip ederek yapabilirsiniz.

Cisco Switch ve Router Üzerinde SSH Yapılandırması

 

3. Tacacs+ Sunucu Yapılandırması

 

Router veya switch üzerindeki IOS yazılımında iki şekilde Tacacs+ yapılandırması yapabilirsiniz. IOS sürümünüz 12.x ise yapılandırma komutlarınız aşağıdaki gibi olmalıdır.

 

 

Eğer IOS Sürümünüz 15.x. ise yapılandırma komutlarınız aşağıdaki gibi olmalıdır.

 

 

Daha sonra, aşağıdaki komutu uygulayarak Tacacs+ sunucusunda kimlik doğrulamasını test edelim.

 

4. Kimlik Doğrulama Yapılandırması

 

Şimdi Cisco router veya switch’e Tacacs+ sunucusu ile kullanıcı kimlik doğrulamasını yapmasını söyleyelim. Tacacs+ sunucusuna erişilememesi durumunda yerel hesaplarla denetim yapılır.

 

5. Yetkilendirme Yapılandırması

 

Router veya switch’e yetkilendirme komutlarını uyguladığımızda, giriş yapan kullanıcı Tacacs+ sunucusunda izinleri dahilinde komut çalıştırabilir. If-Authenticated seçeneği bu durumda büyük önem arz etmektedir, çünkü router veya switch’in Tacacs+ sunucusuna ulaşamaması durumunda, konsoldan bile herhangi bir komut çalıştıramazsınız. If-Authenticated seçeneği uygulanmışsa, Tacacs+ sunucusuna ulaşılamadığında, router ya da switch ile çalışmaya devam edebiliriz.

 

6. Hesap Denetimi Yapılandırması

 

Hesap denetimini bir router veya switch üzerinde aktif ettiğimizde, kullanıcı tarafından çalıştırılan tüm komutları Tacacs+ sunucusu günlük kaydına kaydetmeye başlayacaktır. Yani, artık ağ cihazlarımızda kimin ne yaptığını bilebiliriz.

 

7. Test Edin

 

Tacacs+ yapılandırmanızda 3 konuyu test etmeniz büyük önem taşımaktadır:

  1. Cisco router veya switch’e Tacacs+ sunucusundaki ayrıcalıklı izinlerin olduğu hesapla giriş yapın.
  2. Cisco router veya switch’e Tacacs+ sunucusundaki kısıtlı izinlerin olduğu hesapla giriş yapın ve bu hesabın yalnızca o kullanıcıya izin verilen komutları çalıştırabildiğine emin olun.
  3. Router veya switch’in Tacacs+ sunucusuyla olan bağlantısını koparın ve SSH veya console bağlantısıyla yerel kullanıcı veritabanını kullandığından emin olun. Tacacs+ sunucusuna erişilememesi durumunda  cihazlarımızı yönetebilmemiz için bu son derece önemlidir.

 

8. Sonuç

 

Artık Cisco router veya switch üzerinde Tacacs+ yapılandırmasını yapabilecek bilgiye sahipsiniz. Tacacs+, ağlara merkezi erişim sağlamak için kullanılan, tek güvenlik protokolüdür. Örneğimiz umarım bilgilendirici olmuştur. Soru veya öneriniz olursa, yorumlarınızı aşağıda yazabilirsiniz.

 

Cisco Switch ve Router Üzerinde Tacacs+ Yapılandırması

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.