IOS Basisc: AAA mit TACACS+
Ausgangslage:
- Für den Management Zugriff auf den Accesspoint soll TACACS verwendet werden
- Es soll nur SSH und HTTPS möglich sein
- HTTPS Server soll auf Port 8443 laufen
- Es sollen nur Clients aus dem Range 10.10.10.0/24 und 10.10.11.0/24 Zugriff Management Zugriff haben
Dieser Artikel beschreibt die AAA Konfiguration auf dem Accesspoint. Wie man den ACS konfiguriert, kann man hier nachlesen:
ACS Level 15 Access für Autonomous APs
AAA Aktivieren und TACACS Server definieren:
Zu definiert man die IP des TACACS Server und das Passwort, danach verlinkt man den Server mit einer Gruppe „TAC_SERVERS“
AAP1(config)#aaa new-model
AAP1(config)#tacacs-server host 10.10.210.5 key 0 TAC_PASSWORD
AAP1(config)#aaa group server tacacs+ TAC_SERVERS
AAP1(config-sg-tacacs+)#server 10.10.210.5
Jetzt kann man die verschiedenen AAA Methoden auf die TACACS Gruppe referenzieren, hier kann man als Platzhalter ebenfalls eine Gruppe definieren „AAA_LOGIN„. Als Fallback Action kann man optional „local“ wählen.
AAP1(config)#aaa authentication login ? WORD Named authentication list. default The default authentication list. AAP1(config)#aaa authentication login AAA_LOGIN group TAC_SERVERS local AAP1(config)#aaa authorization exec AAA_LOGIN group TAC_SERVERS local
Wenn man möchte, dass Level15 User direkt im Enable modus sind, kann man folgendes konfigurieren:
AAP1(config)#aaa authentication enable default group TAC_SERVERS enable
Https und SSH Server konfigurieren für TACACS Login:
AAP1(config)#no ip http server AAP1(config)#ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] AAP1(config)# AAP1(config)#ip http secure-port 8443
Referenzieren des HTTPs Login auf die AAA Liste:
AAP1(config)#ip http authentication aaa login-authentication AAA_LOGIN AAP1(config)#ip http authentication aaa exec-authorization AAA_LOGIN
Das gleiche macht man nun für SSH:
AAP1(config)#line vty 0 4
AAP1(config-line)#transport input ssh
AAP1(config-line)#login authentication AAA_LOGIN
Management Access Einschränken:
Zu erst ACL definieren:
AAP1(config)#do sh run int bvi1 interface BVI1 ip address 10.10.110.100 255.255.255.0 no ip route-cache
ip access-list extended Management
permit tcp 10.10.10.0 0.0.0.254 host 10.10.110.100 eq 22
permit tcp 10.10.10.0 0.0.0.254 host 10.10.110.100 eq 8443
permit tcp host 10.10.210.5 eq tacacs host 10.10.110.100
deny ip any any log
ACL auf BVI anziehen:
AAP1(config)#interface bvI 1
AAP1(config-if)#ip access-group Management in