Beruflich Dokumente
Kultur Dokumente
Presentado a :
ING. JEAN POLO CEQUEDA OLAGO
/usr/sbin/tac_plus (ejecutable)
El Daemon se instalar con el nombre tacacs, por lo tanto para iniciar, parar o reiniciar
el servicio bastara con:
group = administrators {
default service = permit
}
Estas lneas sirven para especificar que tengan acceso a todos los servicios. Paso
seguido se define el grupo limitado, el cual solo tendr acceso a los comandos que se
especifiquen:
group = limited {
default service = deny
cmd = show {
permit ip
permit interface
deny .*
}
cmd = enable {
permit .*
}
cmd = exit {
permit .*
}
}
Las anteriores lneas especifican que el grupo limited solo tendra acceso a ejecutar el
comando enable, exit, show interface y show ip, cualquier otro comando no podr ser
ejecutado.
user = usuario1 {
login = cleartext contrasea1
member = administrator
}
user = usuario2 {
login = cleartext contrasea2
member = administrator
}
user = usuario3 {
login = cleartext contrasea3
member = limited
}
user = usuario4 {
login = cleartext contrasea4
member = limited
}
Las siguientes lneas sirven para definir la contrasea del modo privilegiado:
user = $enable$ {
login = cleartext contrasea5
}
Una vez terminada la edicin del archivo, se guarda y se reinicia el servicio TACACS:
[root@asorufps] # /etc/init.d/tacacs restart
Para acceder al router es necesario conocer el puerto con el que se conect al equipo,
en este caso es : /dev/ttyUSB0
Una vez iniciado putty, seleccionamos en tipo de conexin Serial y en Serial line se
introduce el puerto al cual se encuentra conectado el router.
Una vez ya en el router procedemos a insertar las siguientes lneas de comando:
ROUTER>en
ROUTER#config t
ROUTER(config)#aaa new-model
En la anterior lnea, adems le indicamos al router que este modelo estar vinculado al
grupo tacacs.
Ahora configuramos el modo privilegiado, enable con default que es la nica opcin
vlida:
ROUTER(config)#aaa authentication enable default group tacacs+
Autorizamos los comandos execute para que se puedan ejecutar comandos una vez
autenticado:
ROUTER(config)#line vty 0 4
ROUTER(config-line)#login authentication modelo1
Con las siguientes lneas limitamos los intentos de sesin y el tiempo de conexin
inactiva:
ROUTER(config-line)#session-limit 3
ROUTER(config-line)#exec-timeout 30
Ahora se especifican las lneas vty que slo acepten trfico entrante va ssh:
ROUTER(config)#line vty 0 4
ROUTER(config-line)#transport input ssh
ROUTER(config-line)#exit
ROUTER(config)#end