tacacs+ 인증

TACACS  인증 TACACS는 유닉스 네트웍에 적용되는 다소 오래된 인증 프로토콜로서,  주어진 시스템에 대해 액세스를 허용할 것인지를 결정하기 위하여, 원격 액세스 서버가 사용자의 로그인 패스워드를 인증 서버에 전달할 수 있게 해줍니다. TACACS는 암호화되지 않은 프로토콜이므로, 그 이후에 나온 TACACS+와 RADIUS 프로토콜에 비해 덜 안전하다.  TACACS의 다음 버전은 XTACACS (Extended TACACS)이며, 둘 모두 RFC 1492에 기술되어 있습니다. TACACS+는 TACACS에서 많은 개선을 한 프로토콜로써, 시스코社에 의해 개발 되었습니다.   TACACS+은 TCP를 사용하며, RADIUS는 UDP를 사용하게 되어집니다.  일부 관리자들은 TCP가 보다 안정적인 프로토콜이라는 이유를 들어, TACACS+를 사용할 것을 권고하고 있습니다.  RADIUS가 인증과 허가를 하나의 사용자 프로필 내에 모두 가지고 있는데 반하여, TACACS+는 두 개의 작업으로 나눈다. RADIUS 및 TACACS+ 비교    RADIUS  TACACS+  전송계층 특징 Connectionless (UDP)   Connection-oriented (TCP)  패킷 암호화  사용자 비밀번호 만  패킷의 페이로드 전체  인증 및 권한검증  둘을 하나로 취급  각각 분리하여 취급 우분투 TACACS+ 인증서버 구현 방법

1. tacacs+ 패키지 설치 

apt-get install tacacs+     

 

 

2. tac_plus.conf 설정

 

vi /etc/tacacs+/tac_plus.conf

 

# This is the key that clients have to use to access Tacacs+

 

key = test     /*장비와 서로 인증할 key 값 지정

 

3. 권한 설정

  1) 계정에 모든 권한을 선언 하는 경우

user = admin {                    /*user 명 선언

default service = permit   /*사용자 권한 설정

        login = cleartext "admin1234" /* 패스워드

}

 

   2) 계정 별 특정권한 만 부여 하는 경우

user = admin2 {

        default service = deny

 cmd = show {

   permit .*

 }

 cmd = write {

  permit .*

 }

 cmd = exit {

 permit .*

 }

        login = cleartext "test1234"

}

 

4. 설정 저장후 tacacs+ 데몬 다음과 같이 재실행 해줍니다.

 

/etc/init.d/tacacs_plus restart

시스코 TACACS+ 인증 설정

aaa new-model

aaa authentication login default group tacacs+ local

aaa authorization exec default group tacacs+ if-authenticated

tacacs-server host 192.168.0.1

tacacs-server key test

line vty 0 988

authorization exec default 

login authentication default