How to configure TACACS+ Authentication on switches via Omada Controller

內容

目標

要求

介紹

設定

驗證

結論

目標

本文介紹如何透過 Omada 控制器上的 CLI 範本在交換器上實作 TACACS+ 驗證。

要求

• Omada 智慧型 / L2+ / L3 交換器
• Omada控制器（軟體控制器/硬體控制器/雲端控制器，V5.9以上版本）

介紹

為了增強網路安全，我們可以使用 TACACS+ 對交換器進行存取控制。例如，當連接到交換器的用戶端需要透過 SSH 協定存取交換器時，首先必須通過身份驗證流程。在下列網路拓撲中，可以透過 CLI 範本在 Omada 控制器上設定 TACACS+，以確保只有經過驗證的使用者才能存取交換器。

設定

步驟 1. 透過以下步驟在 Ubuntu 20.04（或更高版本）安裝 TACACS+ server：

1. 從 ftp://ftp.shrubbery.net/pub/tac_plus 下載 TACACS+ Server 的最新原始檔。

wget ftp://ftp.shrubbery.net/pub/tac_plus/tacacs-F4.0.4.28.tar.gz (在此使用 tacacs-F4.0.4.28 版本為例)

2. 解壓縮原始檔： tar -zxvf tacacs-F4.0.4.28.tar.gz

3. 移動目錄至解壓後檔案 cd ./tacacs-F4.0.4.28

4. 輸入 ./configure。如果出現錯誤訊息，請執行指令 sudo apt-get install libwrap0-dev flex bison.

5. 先執行 sudo make , 再執行 sudo make install.

6. 修改搜尋路徑設定文件: sudo vi /etc/ld.so.conf，加入 /usr/lib。 修改後，儲存設定並退出。進入終端執行sudo ldconfig。.

步驟 2. 設定 TACACS+ Server。

1. 使用指令 sudo mkdir /etc/tacacs+ 建立一個新資料夾。

2. 在路徑 /etc/tacacs+ 中建立設定檔 tac_plus.conf: touch tac_plus.conf

3. 修改設定檔 tac_plus.conf: sudo vi /etc/tacacs+/tac_plus.conf

您可以將以下指令列複製到設定檔 tac_plus.conf 中測試。

#Make this a strong key

key = tplink_123

# Using local PAM which allows us to use local Linux users

default authentication = file /etc/passwd

#Define groups that we shall add users to later

group = test1 {

default service = permit

service = exec {

priv-lvl = 15

}

}

group = test2 {

default service = deny

service = exec {

priv-lvl = 1

}

}

group = test3 {

default service = permit

login = file /etc/passwd

service = exec {

priv-lvl = 2

}

}

#Defining my users and assigning them to groups above

user = manager {

member = test1

}

user = user1 {

member = test2

}

user = user2 {

member = test3

}

儲存並退出編輯好的 tac_plus.conf 文件，在 Linux 系統上建立相關使用者並設定密碼。

Priv-lvl 對交換器有 15 個等級和 4 種不同的管理權限：

1~4: 用戶權限。使用者只能查看，但不能編輯或修改設定。無法查看 L3 功能。

5~9: 超級使用者權限。超級使用者可以檢視、編輯和修改一些功能，如VLAN、HTTPS、Ping 等。

10~14: 操作者權限。在超級使用者權限的基礎上，操作者還可以 LAG、MAC 位址、存取控制、SSH 等設定。

15: 管理員權限。管理員可以檢視、編輯和修改所有功能。

注意: Omada 控制器所納管的交換器無法透過 CLI 進行設定。

步驟 3. 重新啟動 TACACS+ Server 並新增使用者。每次修改 tac_plus.conf 檔案後，都需要重新啟動 TACACS+ Server。Linux 系統中使用指令 sudo tac_plus -C /etc/tacacs+/tac_plus.conf 重啟，使用指令 adduser 新增使用者並設定密碼。

adduser manager

adduser user1

adduser user2

注意: 這裡的 “manager”, “user1”, 和 “user2” 分別對應 tac_plus.conf 檔案中設定的使用者。同樣，要新增用戶，您需要將其新增至 tac_plus.conf 檔案並重新啟動 TACACS+ Server。

步驟 4. 在 Omada 控制器上設定 CLI 範本。前往 設定 >CLI 設定 >設備 CLI 並點擊 +建立新的設備 CLI 設定檔.

指定名稱並輸入以下 CLI 指令。這裡的 CLI 指令用於為 TACACS+ server 分配 IP 位址、連接埠和共用金鑰，並在透過 SSH 協定存取交換器時實現 TACACS+ 驗證。

tacacs-server host 192.168.0.30 port 49 timeout 5 key 0 tplink_123

aaa authentication login test tacacs

line ssh

login authentication test

在嗶出視窗 選擇設備 中還擇目標交換器，點擊 確認。然後點擊 儲存 來儲存設定

驗證

前往 設定 > 服務 > SSH 啟用 SSH 登入並點擊 套用.

當使用 PuTTY 透過 SSH 方式存取交換器時，需使用在 TACACS+ Server 中設定的使用者名稱和密碼才能登入。

結論

您已成功設定 TACACS+ server 來控制用戶端對交換器的存取。

要了解各項功能和設定的更多詳細信息，請前往 檔案下載 下載您的產品的手冊。