Valdant didesnius įmonių tinklus dažnai iškyla klausimas: o kaip yra valdomas prisijungimas prie tokio didelio kiekio tinklo įrangos? Dažnai pastebima, kad pasirinkimas būna įprastai vienas vartotojas su aukštu privilegijų lygiu ir vienu paprastu slaptažodžiu (pastaba kartais sudėtingesniu :)). Toks prisijungimų valdymas yra nesudėtingas, tačiau turi nemažai trūkumų, kada tinklo įrangos kiekis didėja, kartu didėja ir administravimo našta tinklo administratoriui.
Kaip pavyzdį pateiksime paprastą administravimo iššūkį – reikia pakeisti tinklo įrenginio slaptažodį, visuose 200-se įrangos vienetuose. Kiek bus sunaudota Jūsų IT specialisto laiko? Manau, kaip mes, vertinate savo laiką ir nenorite nuobodžius darbus atlikinėti ilgai. Tokiu atveju yra du sprendimai – vienas DevNet kelias ir kitas susikonfigūruoti AAA tinklo paslaugą. Taip sakysite tai užims tą patį kiekį laiką, tačiau sukonfigūravus vieną kartą nebereikės dar kartą tai atlikti vėliau. Kaip rašėme – gali padėti DevNet kelias, konfigūruojant ir AAA paslaugą.
Kiti pliusai naudojant AAA tinklo paslaugą: visada galime atrasti kas, kada ir kur buvo prisijungęs į tinklo įrenginius, lengvai priskirti tinklo įrenginių vartotojus ir jų teises tinklo įrenginio valdymui.
AAA tinklo paslauga
AAA tinklo paslauga (anlg. Authentication, Authorization, and Accounting) yra skirta valdyti, identifikuoti ir apskaityti vartotojus, kurie jungiasi į tam skirtas IT ar tinklo sistemas. Tokiu būdu galima paprastai stebėti, kontroliuoti ir valdyti vartotojus, kurie jugiasi į tinklines sistemas. Populiariausi tokių tinklo paslaugų sprendimai yra RADIUS ir TACACS+. Šiuo metu dėl didelio saugumo ir patikimumo reikalavimų rekomenduojama naudoti TACACS+ sprendimus teikiančius programinius paketus, kurių yra pasirinkimas galimas iš komercinių, bei atviro kodo. Komerciniai yra lengiau integruojami į įmonių turimas IT sistemas (pvz. Active Directory). Tačiau galima rinktis, bei naudoti atviro kodo paketus, kurie tikrai nedaug skiriasi nuo komercinių.
Kaip įsidiegti ir sukonfigūruoti atviro kodo AAA paslaugų darbinę stotį aprašysime kitame straipsnelyje.
TACACS+ CISCO įrenginyje
Kaip visada pradėsime konfigūravimo darbus su CISCO tinklo įranga ir pirmiausia aptarsime, ką turime padaryti, kad įjungti bei tinkamai sukonfigūruoti AAA tinklo paslaugą.
Pirmiausia reikės sukurti tinklo įrenginyje atsargos vartotoją, kurio pagalbą būtų galima prisijunginti prie tinklo įrenginio komandinės eilutės, jei bet viena iš AAA tinklo paslaugų būtų nepasiekiama. Visi kiti prisijungimai bus valdomi tik iš AAA tinklo paslaugos.
- Valdymo potinklis: VLAN100 10.0.100.0/24
- AAA tarnybinė stotis: 10.0.100.101/24
- AAA serverio raktas: SugeneruotasSuperRaktas
- AAA vartotojas usr01 ir slaptažodis pass01
- SW01 komutatorius: 10.0.100.10/24
Konfigūruojame TACACS+ tinklo paslaugą
Sukuriame atsargos vartotoją su labai geru slaptažodžiu (16 simbolių ir daugiau). Šis vartotojas taip pat bus naudojamas prisijungimui lokaliai per konsolę.
username atsarga privilege 15 secret SlaptazodisLabaiGeras2020
Įjungiame AAA tinklo paslaugą.
aaa new-model
Toliau aprašome TACACS+ tarnybinės stoties duomenis.
tacacs-server host 10.0.100.101
tacacs-server key SugeneruotasSuperRaktas
Aprašome TACACS paslaugos autentifikacijos paslaugą į VTY ir konsolės CONS. Taip pat privilegijuotai prieeigai (anlg. ENABLE) autentifikuoti naudosime TACACS.
aaa authentication login CONS local
aaa authentication login VTY group tacacs+ local
aaa authentication enable default group tacacs+ enable
Sukonfigūruojame konsolinį prisijungimą ir priskiriame AAA grupei CONS.
line con 0
login authentication CONS
Sukonfigūruojame VTY ir priskiriame AAA grupei VTY. Uždedame atsarginį slaptažodį pvz. „SuperSlaptazodis”.
line vty 0 4
password SuperSlaptazodis
login authentication VTY
input transport ssh
