INSTALACIN Y CONFIGURACIN DEL SISTEMA DE AUTENTICACIN TACACS

JUAN CARLOS MACIAS ZAMBRANO

Cod: 1150328

Presentado a :
ING. JEAN POLO CEQUEDA OLAGO

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

FACULTAD DE INGENIERIA
INGENIERIA DE SISTEMAS
2013
 1. QU ES TACACS?

TACACS (acrnimo de Terminal Access Controller Access Control System, en ingls

sistema de control de acceso mediante control del acceso desde terminales) es un
protocolo de autenticacin remota, propietario de cisco, que se usa para comunicarse
con un servidor de autenticacin comnmente usado en redes Unix. TACACS permite a
un servidor de acceso remoto comunicarse con un servidor de autenticacin para
determinar si el usuario tiene acceso a la red. TACACS est documentado en el RFC
1492.

2. INSTALACIN DE TACACS EN FEDORA

Nota: Para el desarrollo del proyecto se utiliz la distribucin Linux Fedora 17.
Primero que todo se debe descargar TACACS+. Se pude hacer de la siguiente URL:
http://www.mediafire.com/?81e8ykc59wpi8fh
Para instalarlo basta con dar doble clic al archivo descargado y confirmar cuando as lo
requiera. Tambin se puede instalar mediante el siguiente comando:
[root@asorufps] # yum localinstall tac_plus-4.0.3-2.i386.rpm

En otras distribuciones puede usar

#apt-get install tacacs+

Archivos del servicio

/var/log/tacacs+/account.log (debe ser escribible, no ReadOnly)

/var/tmp/tac_plus.log (log del servicio)

/etc/init.d/tacacs_plus (script de inicio)

/etc/tacacs+/tac_plus.conf (usuarios y configuracion global)

/usr/sbin/tac_plus (ejecutable)
El Daemon se instalar con el nombre tacacs, por lo tanto para iniciar, parar o reiniciar
el servicio bastara con:

Iniciar: /etc/init.d/tacacs start

Parar: /etc/init.d/tacacs stop
Reiniciar: /etc/init.d/tacacs restart

Teniendo esto en cuenta, procedamos con la configuracin: el archivo donde vamos a

configurar todo es /etc/tacacs/tac_plus.cfg, procedemos a editarlo con nuestro editor
preferido:
Inicialmente slo se debe cambiar la llave por una personal, ms adelante se tendr
que poner la misma llave para configurar el router.

A continuacin se define en el archivo el grupo administrativo de la siguiente manera:

group = administrators {
default service = permit
}

Estas lneas sirven para especificar que tengan acceso a todos los servicios. Paso
seguido se define el grupo limitado, el cual solo tendr acceso a los comandos que se
especifiquen:
group = limited {
default service = deny
cmd = show {

permit ip
permit interface
deny .*
}
cmd = enable {
permit .*
}
cmd = exit {
permit .*
}
}

Las anteriores lneas especifican que el grupo limited solo tendra acceso a ejecutar el
comando enable, exit, show interface y show ip, cualquier otro comando no podr ser
ejecutado.

user = usuario1 {
login = cleartext contrasea1
member = administrator
}
user = usuario2 {
login = cleartext contrasea2
member = administrator
}
user = usuario3 {
login = cleartext contrasea3
member = limited
}
user = usuario4 {
login = cleartext contrasea4
member = limited
}

Las siguientes lneas sirven para definir la contrasea del modo privilegiado:

user = $enable$ {
login = cleartext contrasea5
}
Una vez terminada la edicin del archivo, se guarda y se reinicia el servicio TACACS:
[root@asorufps] # /etc/init.d/tacacs restart

CONFIGURACIN DE UN ROUTER CISCO PARA QUE TRABAJE CON TACACS+

Nota: El router utilizado para el desarrollo de la prctica es un Cisco 2811 conectado

mediante USB.

Para acceder al router es necesario conocer el puerto con el que se conect al equipo,
en este caso es : /dev/ttyUSB0

El programa utilizado para entrar a configurar el router es putty, es software libre y se

puede descargar de la siguiente URL:

Una vez iniciado putty, seleccionamos en tipo de conexin Serial y en Serial line se
introduce el puerto al cual se encuentra conectado el router.
Una vez ya en el router procedemos a insertar las siguientes lneas de comando:

ROUTER>en
ROUTER#config t

Primero indicamos que vamos a crear un nuevo modelo de autenticacin:

ROUTER(config)#aaa new-model

Configuramos el Login, se pueden crear varios modelos de autenticacin y luego

vincularlos a las lneas.

ROUTER(config)#aaa authentication login modelo1 group tacacs+

En la anterior lnea, adems le indicamos al router que este modelo estar vinculado al
grupo tacacs.

A continuacin le indicamos al router que si falla el servidor AAA(Autenticacin,

Autorizacin y Contabilizacin) se loguee mediante la base de datos local

ROUTER(config)#aaa authentication login modelo1 group tacacs+ local

Ahora configuramos el modo privilegiado, enable con default que es la nica opcin
vlida:
ROUTER(config)#aaa authentication enable default group tacacs+

Autorizamos los comandos execute para que se puedan ejecutar comandos una vez
autenticado:

ROUTER(config)#aaa authorization exec modelo1 if-authenticated

En la siguiente lnea le indicamos al router donde se encuentra el servidor e insertamos
la llave que anteriormente colocamos en el archivo de configuracin de TACACS.

ROUTER(config)#tacacs-server host 192.168.254.88 key CLAVE

Creamos un usuario para la base de datos local:

ROUTER(config)#username local password cisco

Ahora solo falta decirle a la consola y la vty el modelo para autenticar:

ROUTER(config)#line vty 0 4
ROUTER(config-line)#login authentication modelo1
Con las siguientes lneas limitamos los intentos de sesin y el tiempo de conexin
inactiva:

ROUTER(config-line)#session-limit 3
ROUTER(config-line)#exec-timeout 30

Para hacer ms segura la comunicacin, se puede activar ssh versin 2. Primero se

debe crear el nombre del dominio, ya que se usa para crear la clave criptogrfica:

ROUTER(config)#ip domain-name aaa.com

ROUTER(config)#crypto key generate rsa
ROUTER(config)#ip ssh version 2

Ahora se especifican las lneas vty que slo acepten trfico entrante va ssh:

ROUTER(config)#line vty 0 4
ROUTER(config-line)#transport input ssh
ROUTER(config-line)#exit
ROUTER(config)#end

ROUTER#copy run start

Para probar el acceso ssh utilizamos igualmente putty y escribimos lo siguiente:

> ssh l nombreusuario direccioniprouter