IOS Basics: AAA mit TACACS+

IOS Basisc: AAA mit TACACS+

Ausgangslage:

  • Für den Management Zugriff auf den Accesspoint soll TACACS verwendet werden
  • Es soll nur SSH und HTTPS möglich sein
  • HTTPS Server soll auf Port 8443 laufen
  • Es sollen nur Clients aus dem Range 10.10.10.0/24 und 10.10.11.0/24 Zugriff Management Zugriff haben

Dieser Artikel beschreibt die AAA Konfiguration auf dem Accesspoint. Wie man den ACS konfiguriert, kann man hier nachlesen:

ACS Level 15 Access für Autonomous APs

AAA Aktivieren und TACACS Server definieren:

Zu definiert man die IP des TACACS Server und das Passwort, danach verlinkt man den Server mit einer Gruppe „TAC_SERVERS“

AAP1(config)#aaa new-model
AAP1(config)#tacacs-server host 10.10.210.5 key 0 TAC_PASSWORD

AAP1(config)#aaa group server tacacs+ TAC_SERVERS 
AAP1(config-sg-tacacs+)#server 10.10.210.5

Jetzt kann man die verschiedenen AAA Methoden auf die TACACS Gruppe referenzieren, hier kann man als Platzhalter ebenfalls eine Gruppe definieren „AAA_LOGIN„. Als Fallback Action kann man optional „local“ wählen.

AAP1(config)#aaa authentication login ? 
 WORD Named authentication list.
 default The default authentication list.

AAP1(config)#aaa authentication login AAA_LOGIN group TAC_SERVERS local
AAP1(config)#aaa authorization exec AAA_LOGIN group TAC_SERVERS local 

Wenn man möchte, dass Level15 User direkt im Enable modus sind, kann man folgendes konfigurieren:

AAP1(config)#aaa authentication enable default group TAC_SERVERS enable

Https und SSH Server konfigurieren für TACACS Login:

AAP1(config)#no ip http server
AAP1(config)#ip http secure-server 
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

AAP1(config)#
AAP1(config)#ip http secure-port 8443

Referenzieren des HTTPs Login auf die AAA Liste:

AAP1(config)#ip http authentication aaa login-authentication AAA_LOGIN
AAP1(config)#ip http authentication aaa exec-authorization AAA_LOGIN

Das gleiche macht man nun für SSH:

AAP1(config)#line vty 0 4
AAP1(config-line)#transport input ssh 
AAP1(config-line)#login authentication AAA_LOGIN

Management Access Einschränken:

Zu erst ACL definieren:

AAP1(config)#do sh run int bvi1
interface BVI1
 ip address 10.10.110.100 255.255.255.0
 no ip route-cache
ip access-list extended Management
permit tcp 10.10.10.0 0.0.0.254 host 10.10.110.100 eq 22
permit tcp 10.10.10.0 0.0.0.254 host 10.10.110.100 eq 8443
permit tcp host 10.10.210.5 eq tacacs host 10.10.110.100
deny ip any any log

ACL auf BVI anziehen:

AAP1(config)#interface bvI 1
AAP1(config-if)#ip access-group Management in 

 

 

Samuel Heinrich
Senior Network Engineer at Selution AG (Switzerland)
Arbeitet in Raum Basel (Switzerland) als Senior Network Engineer mit über 15 Jahren Erfahrung im Bereich Netzwerk

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.