Autorizare comenzi pe echipament folosind TACACS+
OBIECTIV: În acest articol ne propunem explicăm cum se poate limita accesul la anumite comenzi în funcție de utilizator și parolă, cu ajutorul server-ului de TACACS+, adică cu Identity Server Engine (ISE).
Sugestie: Pentru a înțelege mai bine și procesele din acest tutorial vă recomandăm mai întâi să parcurgeți pașii din articolul nostru: “Cum să securizezi accesul la WLC și AP-uri cu un server TACACS”.
Pasul 1. Configurare ISE
Accesăm serverul de ISE la adresa: https://172.20.16.100, apoi selectăm opțiunea WLC_Admin din meniul Work Centers => Device Administration => Policy Elements => Results => TACACS Profiles => WLC_Admin.
Obiectivul este să limităm accesul pentru utilizatorul wlc-admin la o serie de comenzi cu toate ca el este autorizat inițial cu nivelul maxim adică Level 15, așa cum se poate vedea în print screen-ul de mai jos:
Accesăm meniul: Work Centers => Device Administration => Policy Elements => Results => TACACS Command Sets => PermiteOrice
Ne asigurăm ca este bifată opțiunea "Permit any command that is not listed below", apoi în tabelul de mai jos introducem comenzile pe care vrem să le blocăm. În cazul nostru vom bloca accesul la comanda "show running-config". Apasăm butonul +Add (pct. 1), în prima coloana Grant alegem Deny pentru a opri accesul apoi comanda și argumentul (pct. 2).
Altfel spus altfel vom permite toate comenzile mai puțin comanda "show running-config". La final trebuie să nu uităm să apăsăm bifa din capătul liniei și butonul Save pentru salvarea setărilor făcute.
Pasul 2. Configurare controler WiFi 9800
În acest pas vom configura controlerul WiFi 9800 pentru a solicita autorizarea către ISE pentru comenzile primite.
În CLI vom introduce următoarele comenzi:
WLC9800-demo(config)#aaa authorization config-commands
WLC9800-demo(config)# aaa authorization commands 15 Autorizare group TacacsRares
WLC9800-demo(config)#aaa accounting commands 15 Autorizare start-stop group TacacsRares
WLC9800-demo(config)#line vty 0 15
WLC9800-demo(config-line)#authorization commands 15 Autorizare
Configul pe WLC arată ca în imaginea de mai jos pentru AAA și pentru liniile virtuale:
WLC9800-demo#show run | s aaa
aaa new-model
aaa group server radius RADIUS-GROUP
server name ISE-demo
deadtime 5
aaa group server tacacs+ TacacsRares
server name ISE-Tacacs
aaa authentication login default local
aaa authentication login Autentificare local group TacacsRares
aaa authorization config-commands
aaa authorization exec default local
aaa authorization exec Autorizare local group TacacsRares
aaa authorization commands 15 Autorizare group TacacsRares
aaa accounting commands 15 Autorizare start-stop group TacacsRares
aaa accounting network RaresAccounting start-stop group RADIUS-GROUP
aaa server radius dynamic-author
client 172.20.16.100 server-key Cisco123
aaa session-id common
ip http authentication aaa login-authentication Autentificare
ip http authentication aaa exec-authorization Autorizare
snmp-server enable traps aaa_server
wireless aaa policy default-aaa-policy
WLC9800-demo#show run | s vty
line vty 0 4
authorization commands 15 Autorizare
authorization exec Autorizare
login authentication Autentificare
length 0
transport input ssh
line vty 5 15
authorization commands 15 Autorizare
authorization exec Autorizare
login authentication Autentificare
transport input ssh
Pasul 3. Testare
Pentru început ne conectăm la controler folosind utilzatorul: wlc-admin și încercăm cumanda „show run” (1). Vom vedea că nu avem autorizare pentru ea și nu va fi rulată. În schimb dacă rulăm altă comandă ca de exemplu „show start” (2) rezultatul ei va fi afișat pentru că suntem autorizați sa o dăm.
Verificăm în ISE logurile de TACACS în meniul: Operations => TACACS =>Live Logs
Ne oprim atenția pe ultimele două intrări, marcate cu roșu. Pentru a detalia apăsăm pe coloana Details.
Motivul pentru care comanda “show run” nu a funcționat este că nu a primit autorizarea (vezi detaliile marcate mai jos în poză).
Cercetăm autorizarea de sus și constatăm faptul că pentru același user (wlc-admin) comanda show start este autorizată și rulată.
Mai multe informații privind configurare ISE 3.0 folosind TACACS puteți găsi aici.