» Menu

» Últimos artigos

Acessando computadores remotos protegidos por NAT ou firewall com túnel SSH reverso direcionado por DNS dinâmico Analisando log Squid do Mikrotik no SARG Instalação e configuração do LMS Moodle no Linux Sincronizando o Nokia 2630 com o Evolution no Linux Instalação dual boot com 2 HDs com Windows XP e Ubuntu Linux Recebendo notificações do Nagios via Jabber

» Screenshot

Por joanaQWP

» Últimas dicas

1° Encontro Especializa de Tecnologia - FMN Damn Small Linux disponível para download Virtualização de sistemas operacionais com o Sun xVM VirtualBox Um pouco sobre bits e bytes Como resolver o problema do ponto "." no teclado numérico do Linux Fenix Extreme Firefox3 com melhor aparência no KDE 4.1 Resolvendo erro de atualização do firmware do modem DSL2640t Samba para Linux acessar Windows e vice-versa

» Últimos scripts

[Shell-Script] passa2 - Um sistema de backup/sincronização/cópia de arquivos em SHell Script [C/C++] Números randômicos [C/C++] Jogo da forca [C/C++] Tabela ASCII [C/C++] Boletim Escolar Com Manipulação de Arquivo

Treinamento Zope Plone

[Como anunciar?]

» Destaques

4o. - LINUX DAY - UNIP - Limeira. (7) Sugestão de pauta para artigo (28)

» Login

» Top 10 usuários

3974461: Fábio Berbert de Paula 3114899: Alessandro de Oliveira Faria 1500074: Jefferson Estanislau da Silva 1305825: Antonio Carlos Vasques da Silva 1233009: Percival 1209848: Davidson Rodrigues Paulo 1118670: Ricardo Santiago 1036588: Wanderson Berbert 1011676: Thiago Alves 969970: Celso Goya

[0] usuários para
Papo Direto

» Wallpaper

Por schwert

» Perguntas

LTSP-4.2 Problemas (urgente) (5) Tirar usuario de um grupo (3) FLASH no firefox (3) Como instalar Linux em velhos PCs sem o DOS? (25) Duvida sobre Maquina Virtual (2) Galera Muito bom esse video aki (1) Usuários e Permisões (1) Shaperd (0)

» .Conf

[init] inittab - Arquivo de configuração do init [X Window System] xorg.conf - xorg.conf para Samsung SyncMaster 632nw [Gnome] xorg.conf - Resoluções 1024 x 768 e 1280x1024 no Hardy Heron [Procmail Filter Mail] procmailrc - Procmail Filter Mail [NTPd] ntp.conf - configuração do NTP com bons servidores brasileiros.

Artigo

Instalando servidor TACACS para centralizar usuários e senhas de ativos Cisco

luriel.santana
18/08/2008

Olá, esse é meu primeiro tutorial no VOL, espero que gostem. Esse tutorial surgiu da necessidade de centralizar autenticação de usuários em ativos Cisco (testado em roteadores 2811 e switches 3750). O TACACS resolveu meu problema de forma simples. Críticas e sugestões serão bem vindas.

Por: Luriel Nascimento de Santana

[ Hits: 2149 ]

Conceito: 10.0 Linux conceito

+ quero dar nota ao artigo

+ Favoritos

Versão para impressora

Indicar para um amigo

Enviar artigo

O que seria esse TACACS?

Terminal Access Controller Access-Control System (TACACS) é um protocolo de autenticação remota usado para comunicação com servidores de autenticação. TACACS permite que um servidor de acesso remoto se comunique com um servidor de autenticação para verificar se o usuário tem acesso à rede.

Fonte: http://pt.wikipedia.org/wiki/Tacacs

Esse serviço facilitará a manipulação de usuários e senhas, onde não mais será necessário entrar em todos os ativos caso acha necessidade de alteração de senha ou remoção de permissão de um usuário.

Ambiente utilizado

Foi utilizado uma máquina com configurações básicas, rodando o DEBIAN ETCH com kernel 2.6.18-6-686.

Configurado o arquivo /etc/apt/sources.list para utilizar os seguintes repositórios:

deb http://ftp.debian.org/debian etch main non-free contrib
deb http://security.debian.org/ etch/updates main contrib

Instalando o TACACS

1) Atualizando a lista de pacotes dos repositórios:

# apt-get update

2) Instalado o servidor TACACS:

# apt-get install tac-plus

3) Fazendo backup do arquivo original do tacacs (isso facilitará caso precise pegar alguma configuração do arquivo original):

# mv /etc/tac-plus/tacacs.conf /etc/tac-plus/tacacs.conf.orig

4) Entre para edição do novo arquivo de configuração:

# vim /etc/tac-plus/tacacs.conf

5) Adicione o conteúdo abaixo (preste atenção, pois é necessário alterar algumas informações no arquivo):

key = "coloque uma chave aqui"

# Criando grupo de administração com privilege 15
group = 'coloque o nome do grupo, EX: casadopinguim-admin' {
default service = permit
service = exec {
priv-lvl = 15
idletime = 10
}
}

# Criando grupo de usuários com privilege 7
group = 'coloque o nome do grupo, EX: casadopinguim-user' {
default service = deny
service = exec {
priv-lvl = 7
idletime = 5
timeout = 30
}
}

# Criando um usuário adminstrador
user = 'coloque o nome do usuário' {
member = 'coloque o nome do grupo de admin, nesse caso casadopinguim-admin'
login = des 'cole aqui a hash (senha encriptada) criada para administrador'
}

# Criando um usuário normal
user = 'coloque o nome do usuário' {
member = 'coloque o nome do grupo de usuários, nessa caso casadopinguim-user'
login = des 'cole aqui a hash (senha encriptada) criada para usuário'
}

6) Gerando senha encriptada para os usuários:

Ao rodar o comando abaixo, o mesmo solicitará que você digite uma senha, ao digitar e pressionar o enter o programa emitirá como saída a senha encriptada, faça isso para todos os usuários que forem criados para o servidor TACACS, lembrando sempre de copiar e colar no espaço destinado a hash (senha encriptada) para seus respectivos usuários:

# generate_passwd

Exemplo de criação de senha encriptada usando a palavra "teste":

# generate_passwd Password to be encrypted: teste =====> Senha usada
3CBlLJu1E5qUQ =====> Senha encriptada que será usada no arquivo tacacs.conf

Exemplo de um arquivo configurado:

key = "senha!@#"

# Criando grupo de administração com privilege 15
group = 'casadopinguim-admin' {
default service = permit
service = exec {
priv-lvl = 15
idletime = 10
}
}

# Criando grupo de usuários com privilege 7
group = 'casadopinguim-user' {
default service = deny
service = exec {
priv-lvl = 7
idletime = 5
timeout = 30
}
}

# Criando um usuário adminstrador
user = 'luriel' {
member = 'casadopinguim-admin'
login = des 'GaxrPzleHMOwY'
}

# Criando um usuário normal
user = 'santana' {
member = 'casadopinguim-user'
login = des 'FetrPxliHKErw'
}

Configurando ativo Cisco para usar servidor TACACS para autenticação

1) Entre no router com permissão de administrador (acesso enable) e digite os seguintes comandos (você pode apenas copiar e colar no terminal :-P):

configure terminal
aaa new-model
aaa authentication login default group tacacs+ local enable
aaa authorization exec default group tacacs+ local none
aaa authorization commands 0 default group tacacs+ local none
aaa authorization commands 1 default group tacacs+ local none
aaa authorization commands 15 default group tacacs+ local none
aaa authorization configuration default group tacacs+
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
aaa accounting connection default start-stop group tacacs+
aaa accounting system default start-stop group tacacs+

2) Adicione também as opções do seu server TACACS, lembrando de alterar o IP do servidor e a chave (aqui você também pode copiar e colar após ter realizado as alterações de IP e chave):

tacacs-server host 'IP do Server TACACS'
tacacs-server directed-request
tacacs-server key 7 'coloque aqui chave adicionada no inicio do arquivo tacacs.conf EX: senha!@#'
radius-server source-ports 1645-1646

Pronto, agora bastar testar o login com seus usuários configurados no TACACS. :-)