💴 🖇️ 👩🏿‍🤝‍👩🏾 एक और टैक + 🥧 🤹 🤵🏻

मुझे लगता है कि tacacs + के बारे में इसकी सेटिंग्स, नीतियां, ACL और इतने पर, और यहां तक कि पर्याप्त से अधिक लिखा गया है। लेकिन, जो चीज मुझे हमेशा परेशान करती थी + वह यह है कि कुछ लगातार याद आ रही है। किसी तरह का अधूरा या कुछ ...
उदाहरण के लिए, आप मेजबान के एक समूह में प्रवेश करने के लिए एक बैनर सेट नहीं कर सकते हैं, आप केवल अलग करके ही कर सकते हैं। आप मेजबानों के समूह में समान सेटिंग्स लागू नहीं कर सकते हैं, यह केवल अलग से किया जा सकता है। और इस तरह के पांच और क्विबल्स के साथ टाइप किया जाएगा। शायद मुझे कुछ पता नहीं है, लेकिन अभी तक मेरे लिए यही बात है।
पिछली नौकरी में, मैंने एक असामान्य टैक + देखा, जो मानक से मौलिक रूप से अलग था। और अब, कुछ समय बाद, मैंने उसे पाया। और न सिर्फ पाया गया, बल्कि एक छोटे से डेस्क में लागू किया गया।
यह परियोजना के बारे में होगा: www.pro-bono-publico.de/projects/tac_plus.html । लेख "हाउ-टू" की भावना में कुछ हद तक होगा, मुझे उम्मीद है कि कोई इसे उपयोगी पाएगा।

स्रोत डेटा:
बोर्ड पर डेबियन मट्ठा वाला एक सर्वर जिसमें पहले से ही tacacs + और tftp है जो रिपॉजिटरी से मेरे द्वारा स्थापित किया गया है।

हम नए tacacs + (निश्चित रूप से, पुराने tacacs + हटाएं) को स्थापित और कॉन्फ़िगर करना शुरू करते हैं।
हम इसे चेक-इन का उपयोग करके एकत्र करेंगे। हमें कुछ पुस्तकालयों और जीसीसी-मल्टीबिल की आवश्यकता होगी। हम डालते हैं:
apt-get install flex bison libtool gcc-multilib checkinstall
विधानसभा के लिए तैयार:
./configure
और इकट्ठा करें:
checkinstall

पहली बार जब आप इसे बनाएंगे तो यह काम नहीं करेगा, क्योंकि कंपाइलर लापता निर्देशिकाओं की शपथ लेगा। इसलिए, हम उन्हें तुरंत बनाएंगे:
 mkdir /home/USER/tacacs-sourse/PROJECTS/build/linux-3.2.0-4-amd64-x86_64 mkdir /home/USER/tacacs-sourse/PROJECTS/build/linux-3.2.0-4-amd64-x86_64/mavis mkdir /usr/local/etc/mavis 
tacacs-sourse - निर्देशिका जहां हमने स्रोतों को अनपैक किया।

अंत में हम एक पैकेज प्राप्त करेंगे जो सिस्टम में सुरक्षित रूप से स्थापित किया ~~जाएगा~~ और ~~बिल्ली~~ के ~~बच्चे~~ किसी भी निर्भरता को खराब किए बिना ~~जीवित रहेंगे~~ ।

अगला, सबसे दिलचस्प हिस्सा कॉन्फ़िगरेशन है ।
नेटवर्क पर, मैंने सिस्को , जुनिपर , ज़ेलेक्स , क्यूटेक के लिए टैक्सेस + का उपयोग किया।

लेकिन, चलो tacacs + को स्वयं कॉन्फ़िगर करने के लिए नीचे आते हैं:
शुरू करने के लिए, यह एक निर्देशिका बनाने के लायक है जहाँ कॉन्फ़िगरेशन फ़ाइल संग्रहीत की जाएगी, मेरे पास / etc / tacacs + / है । अगला, कॉन्फ़िगरेशन फ़ाइल स्वयं बनाएं, मेरे पास tacacs.conf है । हम फ़ोल्डर और फ़ाइल पर 600 अनुमतियाँ सेट करते हैं ताकि कोई भी बाहरी व्यक्ति जासूसी न कर सके।

अगला, मैं टिप्पणियों के साथ एक कॉन्फ़िगरेशन फ़ाइल का एक सरल उदाहरण दूंगा:

 #!/usr/local/sbin/tac_plus id = spawnd { listen = { port = 49 } ## tacacs   49  } id = tac_plus { accounting log = /var/log/tacacs/tac_plus.log ##    (, ,    ),     600   logrotate mavis module = external ## mavis  (    ).  ,       ldap. { exec = /usr/local/lib//mavis/mavis_tacplus_passwd.pl } login backend = mavis ###       host = world { welcome banner = "\nWe are watching you! We know your ip: %%c\n" failed authentication banner ="\nYou are the %%u?\n" motd banner = "\nHello %%u. Today is %A!" key = WeryLongAndSequreKey ##  address = 0.0.0.0/0 } ###     -  ...  #  group = admin { default service = permit service = exec { set priv-lvl = 15 } service = junos-exec { set local-user-name = remote-super-users } #  juniper,   } #     group = noob { default service = deny service = exec { set priv-lvl = 15 } service = junos-exec { set local-user-name = remote-read-only } service = shell { cmd = show { permit .* } cmd = ping { permit .* } cmd = traceroute { permit .* } } } ### ACL     ,     tacacs+.   ,  ACL       192.168.0.5.      bad password. acl = noobilo { nas = 192.168.0.5 } ###   user = prootik { member = admin login = crypt bla-bla-bla service = shell { set priv-lvl = 15 } } user = noob { acl = noobilo member = noob login = crypt la-la-la service = shell { set priv-lvl = 15 } } }

उपयोगकर्ता पासवर्ड को md5 या DES में एन्क्रिप्ट किया गया है। प्रलेखन के अनुसार, इसे इस तरह किया जा सकता है:

 openssl passwd -1 <clear_text_password> openssl passwd -crypt

जैसा कि आप देख सकते हैं, सभी उपयोगकर्ताओं को डिफ़ॉल्ट रूप से स्तर 15 विशेषाधिकार (सिस्को) दिए गए हैं। हालाँकि, noob समूह के उपयोगकर्ता अभी भी केवल उन कमांड्स को निष्पादित करने में सक्षम होंगे जो उन्हें स्पष्ट रूप से अनुमति देते हैं। यह मुझे सुविधाजनक लगता है, आपको विशेषाधिकार प्राप्त मोड के लिए पासवर्ड दर्ज करने की आवश्यकता नहीं है।

ACL क्षमताएं मानक tacacs + की तुलना में व्यापक हैं, लेकिन वाक्यविन्यास भी बहुत अलग है। अधिक विस्तृत अध्ययन के लिए, यह एक आदमी को धूम्रपान करने के लायक है। इस लेख के भाग के रूप में, मैं ACL पर नहीं रहूँगा।

और इसलिए, हमें काफी कामकाजी टाक्स + मिले। आइए इसे चलाने का प्रयास करें:

tac_plus /etc/tacacs+/tacacs.conf &

प्रक्रियाओं में हम कुछ इस तरह देखेंगे:

71745 ? Ss 0:00 tac_plus: 0 connections, accepting up to 480 more
71746 ? Ss 0:00 tac_plus: 0 connections
71747 ? Ss 0:00 tac_plus: 0 connection

क्या यह देखना सुविधाजनक है कि वर्तमान में कितने उपयोगकर्ता सिस्टम का उपयोग कर रहे हैं (विशेषकर जब आप इसे रोकना चाहते हैं)?

वेबसाइट www.pro-bono-publico.de पर । एक उदाहरण इनिट स्क्रिप्ट है, मैंने अपनी आवश्यकताओं को पूरा करने के लिए इसे थोड़ा बदल दिया:

 #!/bin/sh # # Start-stop script for tac_plus # # (C)2001-2010 by Marc Huber <Marc.Huber@web.de> # $Id: etc_init.d_tac_plus,v 1.1 2011/07/22 17:04:03 marc Exp $ # # chkconfig: 2345 99 99 # description: Starts and stops the tac_plus server process. # <code>PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/sbin/ export PATH DEFAULT=/etc/default/tacplus-tac_plus PROG=/usr/local/sbin/tac_plus CONF=/etc/tacacs+/tacacs.conf PIDFILE=/var/run/tac_plus.pid NAME=tac_plus [ -f "$DEFAULT" ] && . "$DEFAULT" for FILE in $PROG $CONF ; do if ! [ -f "$FILE" ] ; then echo $FILE does not exist. DIE=1 fi done if [ "$DIE" != "" ] ; then echo Exiting. exit 1 fi start () { /bin/echo -n "Starting $NAME: " if $PROG -bp $PIDFILE $CONF then echo "done." else echo "failed." fi } restart () { PID=`cat $PIDFILE 2>/dev/null` /bin/echo -n "Restarting $NAME: " if [ "x$PID" = "x" ] then echo "failed (service not running)" else kill -1 $PID 2>/dev/null echo "initiated." fi } stop () { PID=`cat $PIDFILE 2>/dev/null` /bin/echo -n "Stopping $NAME: " if [ "x$PID" = "x" ] then echo "failed ($NAME is not running)" else kill -9 $PID 2>/dev/null rm -f $PIDFILE echo "done." fi } case "$1" in stop) stop ;; status) PID=`cat $PIDFILE 2>/dev/null` if [ "x$PID" = "x" ] then echo "$NAME is not running." exit 1 fi if ps -p $PID 2>/dev/null >&2 then echo "$NAME ($PID) is running." exit 0 fi echo "$NAME ($PID) is not running but pid file exists." ;; start|restart|force-reload|reload) if $PROG -P $CONF ;then if [ "$1" = "start" ] then stop 2>/dev/null >&2 start else restart fi else cat <<EOT ******************************************************************************** * Unable to $1 $NAME ... please fix the configuration problem * indicated above. ******************************************************************************** EOT exit 1 fi ;; *) echo "Usage: $0 {start|stop|restart|force-reload|reload|status}" exit 1 ;; esac exit 0

हम स्क्रिप्ट निष्पादन अधिकार (chmod + x) देते हैं। इसे उदाहरण के लिए tac_plus पर कॉल करें और इसे /etc/init.d में फेंक दें। वह सब है। अब आप सेवा tac_plus स्टार्ट / स्टॉप / रिस्टार्ट का उपयोग कर टास + को फिर से शुरू, बंद कर सकते हैं।

और एक पूर्ण फेंग शुई के लिए हम ऑटोकैड में टैक्सेस + जोड़ते हैं:
update-rc.d tac_plus defaults ।

सर्वर साइड तैयार है। सक्रिय उपकरण स्थापित करने के लिए आगे बढ़ते हैं। वास्तव में, सब कुछ सरल है, केवल जुनिपर ने रन बनाए। सिस्को के लिए, मुझे लगता है कि यह एक विन्यास देने के लिए कोई मतलब नहीं है (zelax और qutech के लिए यह लगभग समान है), लेकिन जुनिपर के लिए मैं इसे नहीं दूंगा। वैसे, प्रलेखन बताता है कि दोस्तों को जुनिपर और टैक्सेस + कैसे बनाया जाए। एक समय, मेरे पास इसके साथ एक महान समय था।

जुनिपर के लिए कॉन्फ़िगर करें:

 set system authentication-order tacplus set system authentication-order password set system tacplus-server <ip > port 49 set system tacplus-server <ip > secret WeryLongAndSequreKey set system tacplus-server <ip > timeout 10 set system accounting events login set system accounting events change-log set system accounting events interactive-commands set system accounting destination tacplus server <ip > secret WeryLongAndSequreKey #      ,   juniper         / set system login user remote-super-users full-name "User template for remote super-users" uid 2013 class super-user set system login user remote-read-only full-name "User template for remote read-only" uid 2014 class read-only #       , : set system login class remote-getconf permissions [ view-configuration configure ] set system login user remote-getconfig full-name "User template for remote getconf" uid 2015 class remote-getconf

टैक्सेस + चालू होने के बावजूद, आप अभी भी रूट के रूप में जुनिपर को प्राप्त कर सकते हैं। यह किया जाता है ताकि आप खोल में मिल सकें। टैक + खातों के अनुसार, आप सीधे क्ली में आते हैं।

इसके अलावा, मैं दृढ़ता से अनुशंसा करता हूं कि आप एक प्रबंधन सबनेट आवंटित करें और इसे सभी एसीएल उपकरणों पर लटका दें, केवल इस सबनेट से पहुंच के साथ।

और अब, यहाँ कुछ स्क्रीनशॉट हैं:

ZY स्थिरता के मुद्दे पर। पिछली नौकरी में, प्रशासकों के एक समूह ने प्रणाली का उपयोग किया था और कई हजार डिवाइस थे। सब कुछ, सिद्धांत रूप में, अच्छा था।
वर्तमान स्थान पर, कई दर्जन डिवाइस और पांच उपयोगकर्ता हैं, सब कुछ ठीक है।

एक और टैक +

More articles: