Ubuntu 리눅스에 TACACS+ 인증서버 설치하고 시스코 스위치에 적용하기

우분투 리눅스에 TACACS+ 인증서버 설치하기

설치환경:
TACACS+ 설치 : ubuntu 18.04, ip address: 192.168.0.6
Cisco switch: C3550, ip address: 192.168.0.200


1. 작업 환경 확인 및 tacacs plus 설치

리눅스 버전 확인

TACACS+ 설치

2. 설정(/etc/tacacs+/tac_plus.conf) 화일

2.1. tacacs+ 서버와 클라이언트간의 패킷 암호화에 사용하는 키설정.

2.2. ACL(Access Control List) 설정
ACL은 클라이언트 IP 주소나 호스트네임별로 사용자 또는 그룹의 로그인 또는 접근을 제한하도록 정의할 수 있다.
ACL은 아래와 같은 형식으로 지정할 수 있다.

아래 예는, net_admin 그룹은 모든 IP 주소에서, sys_admin 그룹은 10.10.10.2 에서만 접속가능하도록 설정한다.

2.3. 그룹
그룹을 만들고 각각의 그룹이 네트워크 장비에서 수행할 수 있는 권한을 정의한다. 그룹은 아래와 같은 형식으로 정의한다.

default service를 허용하기위해서 아래와 같이 명시한다.
default service = permission
만약 생략하면 기본값은 deny가된다.

그룹 속성(group_attr)은 그룹 사용자가 상속하는 속성이며 ACL 이나 유효기간 같은 속성을 포함한다.
서비스(svc)는 그룹이 실행할 권한이 있는 서비스를 정의한다. 서버와 클라이언트 모두에 권한을 부여해 구성해야 올바로 작동한다.

command 권한은 아래와같이 정의한다.

위의 2.2에서 만든 두 그룹이 실행할 수 있는 명령어를 제한 하려면, 아래와 같이 설정한다.
아래예에서, net_admin 그룹은 모든 명령어를 실행할 수 있지만, sys_admin 그룹은 실행할 수 있는 명령어의 제한을 받는다.

2.4. 사용자(Users)
그룹을 설정한 다음에는 사용자를 정의하고 그룹에 속하도록 할 수 있다.
사용자 설정은 그룹과 유사하며, 아래와 같다.

이제, 위의 두 그룹에 속할 사용자를 하나씩 만든다.
net_admin 그룹에 속하는 nadmin 사용자는 미리 정의된 DES로 암호화된 비밀번호로 인증한다.
sys_admin 그룹에 속하는 fox 사용자는 /etc/passwd에서 인증한다. 이를 위해서는 TACACS+ 서버에서도 사용자를 설정해야한다.

nadmin 사용자의 비밀번호를 만들기위해 tac_pwd 명령어를 사용하며 tac_plus.conf에 DES로 암호화된 비밀번호를 설정해야한다.

사용자 fox계정을 만들고(리눅스 계정), passwd 명령어를 사용하여 비밀번호를 생성한다.

다음으로 enable 비밀번호를 생성한다.
위에서 처럼, nadmin 사용자는 tac_pwd 명령어를 사용한다.(enable 비밀번호는 enable 로 설정)

사용자 fox의 경우에는 TACAS+ 데몬에서특별히 정의된 사용자인 ‘$ enable $’를 사용하는데, 이 것은 사용가능한 비밀번호를 설정하지 않은 모든 사용자들이 기본으로 사용하게된다.
tac_pwd 명령어로 ‘$ enable $’ 사용자의 비밀번호를 생성한다. 여기서는 비밀번호를 ‘default’로 설정했다)

이제, tac_plus.conf 에 아래 내용을 추가하여 사용자 설정을 마무리한다.

3. TACACS+ 서비스 실행

이제, TACACS+ 서비스를 시작하고, 서비스 상태를 확인해 본다.

4. 시스코 스위치 설정 및 테스트

시스코 스위치 설정 내용은 아래 문서를 참고.

테스트, user fox는 명령어가 제한됨을 볼 수 있다.

5. 설정 내용
5.1. TACACS+ 서버 설정

5.2. CISCO 스위치 설정(TACACS+ 테스트를 위한 최소 설정임).

참고문서:

,https://www.cisco.com/c/en/us/support/docs/security-vpn/terminal-access-controller-access-control-system-tacacs-/10384-security.html

댓글 남기기

Your email address will not be published.

%d 블로거가 이것을 좋아합니다: