Una forma de controlar el acceso a routers y demás dispositivos Cisco es por medio del protocolo TACACS, aunque este protocolo es propietario, existe una solución opensource por lo cual hoy les mostrare como instalar TACACS+ en Centos 6.4 paso a paso.
-Instalamos dependencias
yum groupinstall -y "Development tools"
yum install ftp telnet wget mlocate tcp_wrappers-devel pam-devel
-Descargamos el archivo
wget -c ftp://ftp.shrubbery.net/pub/tac_plus/tacacs+-F4.0.4.26.tar.gz
-Descomprimimos y entramos a su directorio
tar xzvf tacacs+-F4.0.4.26.tar.gz
cd tacacs+-F4.0.4.26
-Compilamos
./configure
make
make install
-Agregamos sitio de instalación de librerías y salimos guardando
vi /etc/ld.so.conf
/usr/local/lib
-Activamos el cambio
ldconfig
-Nos cambiamos al directorio de tacacs+
cd /usr/local/share/tacacs+/
-Generamos una contraseña. La palabra que pasemos nos la devolverá ya encriptada
tac_pwd
Password to be encrypted: Usando-sistema-AAA
CwnZe9WmzSaiU
-Creamos el archivo de configuración teniendo cuidado que todas las lineas que comienzan con # son comentarios. Salimos guardando.
vi tac_plus.conf#NAS Key (Network Authentication Server)
#key is used to allow authentication from devices
key = contrasena-nas
#Archivo de logs
accounting file = /var/log/tac_accounting.log
# USERS
user= user1 {
login = cleartext zpasswordz
}
user = cisco {
login = des JYD.Ex4334bWc #enable
member = CISCOADMIN
name = "Cisco User"
}
# GROUPS
group = CISCOADMIN {
enable = des CwnZe9WmzSaiU #Usando-sistema-AAA
}
# End Of File
-Creamos el script de inicio
vi tac-plus
#!/bin/sh
#
### BEGIN INIT INFO
# Description: Run the tac-plus server listening for
# AAA ( access, acounting and autorization request )
# from routers or RAS (remote access servers) via
# tacacs+ protocol
### END INIT INFO
PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/bin:/usr/local/sbin
DESC="TACACS+ server"
NAME=tac_plus
PIDFILE=/var/run/$NAME.pid
SCRIPTNAME=/usr/local/share/tacacs+/tac-plus
PROCESS=/usr/local/bin/$NAME
CONFIG_FILE="/usr/local/share/tacacs+/tac_plus.conf"
LOG_OPTS="-l /var/log/tac_plus/tac.log -d 16"
DAEMON="$PROCESS -C $CONFIG_FILE $LOG_OPTS"
# Source function library.
. /etc/rc.d/init.d/functions
# Start service
start() {
echo -n "Starting $DESC: "
daemon $DAEMON
}
stop() {
echo -n "Stopping $DESC: "
killproc tac_plus
}
case "$1" in
start)
start
;;
stop)
stop
;;
*)
echo "Usage: $SCRIPNAME {start|stop}" >&2
exit 1
esac
exit 0
-Damos permisos de ejecución y lo agregamos a rc.local para que se ejecute al hacer boot el servidor. Salimos guardando.
chmod +x tac-plusvi /etc/rc.local
/usr/local/share/tacacs+/tac-plus start
-Creamos directorio para logs y sus archivos
mkdir /var/log/tac_plus/
touch /var/log/tac_plus/tac.log
touch /var/log/tac_plus/tac_accounting.log
-Ejecutamos
/usr/local/share/tacacs+/tac-plus start
-Verificamos este ejecutando
ps -ax|grep tacacs
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
30726 pts/2 S 0:00 /usr/local/bin/tac_plus -C /usr/local/share/tacacs+/tac_plus.conf -l /var/log/tac_plus/tac.log -d 16
Ya podemos tener control de acceso a dispositivos Cisco.
Como instalar #TACACS+ en #Centos paso a paso https://t.co/4rOFljykv0
— Manuel Cabrera C (@drivemeca) January 16, 2016
Disfrútenlo.