Internet User Authenticatie met TACACS

Op mijn werk maken we voor TACACS authenticatie van dial-up Internet gebruikers (die een verbinding hebben met onze modempool en die op hun beurt weer verbonden zijn aan een paar Cisco 250x access servers) gebruik van de Vikas versie van “xtacacsd”.

Na het compileren en installeren van het Vikas package (laatste versies zijn beschikbaar vanaf ftp://ftp.navya.com/pub/vikas; Ik geloof niet dat het package beschikbaar is in het RPM-formaat), zou je de volgende records aan het bestand ``/etc/inetd.conf'' toe moeten voegen zodat de daemon door de inetd-daemon zal worden geladen als er een TACACS-verzoek is ontvangen.

# TACACS is een user authenticatie protocol dat voor Cisco Router producten
# wordt gebruikt.
tacacs dgram udp wait root /etc/xtacacsd xtacacsd -c /etc/xtacacsd-conf

Vervolgens zou je het bestand ``/etc/xtacacsd-conf'' moeten wijzigen en het overeenkomstig je systeem aan moeten passen (alhoewel je waarschijniljk de standaardinstellingen kunt gebruiken, zoals ze zijn).

Noot: Als je gebruik maakt van shadow passwords (zie de the section called Linux Password & Shadow Bestandsformaten in Chapter 6 voor details), zal je wat problemen met dit package ondervinden. Helaas wordt PAM (Pluggable Authentication Module), wat Red Hat gebruikt voor de authenticatie van gebruikers, door dit package niet ondersteund. De oplossing die ik gebruik is om een apart ``passwd'' bestand in ``/usr/local/xtacacs/etc/'' bij te houden die overeenkomt met die in /etc/ maar dan zonder shadow. Dit is een beetje een gedoe en als je hiervoor kiest, zorg er dan voor dat je de permissies op het andere wachtwoordbestand instelt om er zeker van te zijn dat het alleen voor root leesbaar is:

chmod a-wr,u+r /usr/local/xtacacs/etc/passwd

Als je inderdaad gebruikt maakt van shadow, zal je vrijwel zeker het bestand ``/etc/xtacacsd-conf'' moeten wijzigen en de lokatie van het niet-shadowed wachtwoordbestand (in de veronderstelling dat je gebruik maakt van de oplossing die ik hierboven aanbeveelde).

De volgende stap bestaat uit het configureren van je access server(s) om logins voor de gewenste devices (zoals dial-up modems) met TACACS te verifiëren. Hier is een voorbeeldsessie van hoe je dit kunt doen:

mail:/tftpboot# telnet xyzrouter

Escape character is '^]'.
User Access Verification
Password: ****
xyzrouter> enable
Password: ****
xyzrouter# config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
xyzrouter(config)# tacacs-server attempts 3
xyzrouter(config)# tacacs-server authenticate connections
xyzrouter(config)# tacacs-server extended
xyzrouter(config)# tacacs-server host 123.12.41.41
xyzrouter(config)# tacacs-server notify connections
xyzrouter(config)# tacacs-server notify enable
xyzrouter(config)# tacacs-server notify logouts
xyzrouter(config)# tacacs-server notify slip
xyzrouter(config)# line 2 10
xyzrouter(config-line)# login tacacs
xyzrouter(config-line)# exit
xyzrouter(config)# exit
xyzrouter# write
Building configuration...
[OK]  
xyzrouter# exit

Connection closed by foreign host.

Alle logmeldingen over TACACS activiteiten zullen voor onderzoek in ``/var/log/messages'' worden opgenomen.