Tacacs auf dem Raspberry und die Anbindung von Cisco und Juniper Switchen

Tacacs Server auf dem Raspberry

Der Tacacs Server soll für die Authentifikation der User die auf dem Raspberry angelegt sind dienen um sich auf Cisco und Juniper Komponenten anmelden zu können

Ich habe dazu einmal den root user sowie 2 Test user angelegt

Nur der root User hat vollen Zugriff auf die Konfiguration der Netzwerkgeräte

Zum ersten brauchen wir natürlich den Tacacs Server der wird mit apt-get install tacacs_plus installiert

Jetzt können wir die Datei /etc/tacacs+/tac_plus.conf bearbeitet

sudo nano /etc/tacacs+/tac_plus.conf

das erste was wir machen ist den Key festlegen, der benötigt wird damit die Netzwerkgeräte sich am Tacacs Server authentifzieren können

key = passwort welches sie wollen

Als nächstes werden die Gruppen festgelegt, ich selber habe eine Gruppe für die Admins und eine für Rookies erstellt.

group = rookie {
default service = permit
service = exec {
priv-lvl = 1
}
service = junos-exec {
local-user-name = rookie
}

}
group = admin {
default service = permit
service = exec {
priv-lvl = 15
}

}
service = junos-exec {
local-user-name = admin
}

}
Jetzt werden die User eingetragen
user = root {
name = “Hauptadmin”
member =  admin            #Gruppen Mitgliedschaft
login = file /etc/passwd       # verwendung des lokalen Passwortes auf dem Raspberry
}
user = TestUser1 {
name = “Testuser1”
member =  rookie        #Gruppen Mitgliedschaft
login = file /etc/passwd       # verwendung des lokalen Passwortes auf dem Raspberry
}
user = TestUser2 {
name = “Testuser2”
member =  rookie        #Gruppen Mitgliedschaft
login = file /etc/passwd       # verwendung des lokalen Passwortes auf dem Raspberry
}

Das wars auch schon soweit in der Datei, speichern mit STRG+O und beenden mit STRG+X
Jetzt muss der Service mit service tacacs+ restart neu gestartet werden

Die Cisco Einstellungen

Ich gehe davon aus das ein lokaler User schon angelegt wurde, mit dem man Zugriff auf die Cisco Geräte hat.

tacacs-server host <Server IP >
tacacs-server key <der key der in der Datei festgelegt wurde”
aaa new-model
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+

um auch über die Console über Tacacs authorisiert zu werden, wird noch dieser Befehl benötig

aaa authorization console

Nun geht es zum Juniper rüber

Einloggen und in den Configurationsmodus wechseln

Tacacs aktivieren :

set system authentication-order tacplus
set system tacplus-server <Server_IP> secret mykey source-address

Die Gruppen festlegen
set system login class admin idle-timeout 30
set system login class admin permissions all

set system login class rookie idle-timeout 30
set system login class rookie permissions [ access firewall interface network routing secret security snmp system trace view ]

Die Rollen an die Templates binden
set system login user admin full-name “User for 3rd lvl”
set system login user admin uid 102
set system login user admin class admin

set system login user rookie full-name “User for 1st lvl”
set system login user rookie uid 100
set system login user rookie class rookie

danach lief dann alles bei mir

Man kann natürlich auf dem Tacacs Server noch weitere Konfigurationen vornehmen, dazu ggf später mehr