TACACS

TACACS (Terminal Access Controller Access-Control System Plus) обеспечивает централизованное управление доступом к сетевому оборудованию через внешние серверы. Протокол использует TCP порт 49 и шифрует все содержимое пакета, включая команды и параметры.

Основные сценарии использования:

• Централизованная аутентификация администраторов при подключении по SSH или Telnet;
• Разграничение доступа к командам на основе уровня привилегий пользователя;
• Регистрация всех выполненных команд для аудита и расследования инцидентов;
• Переход в привилегированный режим (enable) с проверкой прав через внешний сервер.

Протокол рекомендуется использовать в производственных средах с высокими требованиями к безопасности и необходимостью детального учета действий администраторов.

Необходимые условия и предварительные требования

Для настройки TACACS+ требуется:

• Доступный TACACS+ сервер;
• Сетевая связность между коммутатором и сервером;
• Общий секретный ключ (shared secret), согласованный с администратором сервера;
• Настроенный management-интерфейс или VLAN для source IP коммутатора.

Назначение применяемой команды/конфигурации

Команды в режиме глобальной конфигурации

tacacs-server deadtime <1-1440>
tacacs-server host  [key ] [port <0-65535>] [timeout <1-30>]
tacacs-server key { encrypted  | unencrypted  }
tacacs-server timeout <1-30>

no tacacs-server deadtime
no tacacs-server host  port
no tacacs-server key
no tacacs-server timeout

Команды отображения информации

show tacacs-server

Пример конфигурирования

Настройка

Шаг 1. Настройка способа проверки имени и пароля при подключении через SSH, TACACS - первый способ, при недоступности TACACS используется локальная база

SW1# configure terminal
SW1(config)# aaa authentication login ssh tacacs local 

Шаг 2. Включение проверки авторизации на выполнение каждой команды

SW1(config)# aaa authorization ssh tacacs commands 0

Шаг 3. Включение логировании каждого подключения и выполнения команд

SW1(config)# aaa accounting ssh tacacs commands 0 exec

Шаг 4. Установка времени ожидания ответа от TACACS сервера

SW1(config)# tacacs-server timeout 10 

Шаг 5. Установка времени игнорирования TACACS сервера после неудачного запроса

SW1(config)# tacacs-server deadtime 1 

Шаг 6. Установка адреса TACACS сервера, номера порта, локального timeout и ключа

SW1(config)# tacacs-server host 192.168.1.107 timeout 10 key encrypted 12c3a79fb1a5a35b57730ebe03f6818e1a9aad746367a6d6e2d425dfc936b4c32aef06fd54eac84b745cf37c269346cde63e65bb5b45b0ceaca2e426be2efc0f 

Полный вывод выполненных конфигураций

configure terminal
!
aaa authentication login ssh tacacs local
aaa authorization ssh tacacs commands 0 
aaa accounting ssh tacacs commands 0 exec
tacacs-server timeout 10 
tacacs-server deadtime 1
tacacs-server host 192.168.1.107 timeout 10 key encrypted 12c3a79fb1a5a35b57730ebe03f6818e1a9aad746367a6d6e2d425dfc936b4c32aef06fd54eac84b745cf37c269346cde63e65bb5b45b0ceaca2e426be2efc0f