TACACS

Всеволод Стахов

В данной статье описываются основные принципы настройки сервера и клиента (терминального сервера фирмы Cisco или иной компании) TACACS+. TACACS имеет очень широкое применение, так как может обеспечивать работу всех клиентов с единым сервером авторизации, который также позволяет настраивать привилегии различных пользователей в широких пределах, например: давать определённым пользователям доступ только к определённым командам, давать определённым лицам пользоваться различными сервисами только с заданных адресов, организовывать группы пользователей, вести лог-файл доступа пользователей (это  особенно  важно  для маршрутизаторов Cisco, так как позволяет определить, кто и сколько пользовался определёнными сетевыми службами: ppp, slip и т. д.), выполнять для пользователей определённые команды UNIX.

Но прежде чем начинать разговор о настройке TACACS, я бы хотел определиться с терминологией:

n  TACACS (terminal access controller access control system) – собственно, система управления авторизацией и аутентификацией.

n  NAS (network access server) – клиент tacacs, киска. Киской в данной статье я буду называть терминальный сервер (интеллектуальный коммутатор или маршрутизатор) фирмы Cisco. Хотя в принципе с протоколом TACACS+ могут работать маршрутизаторы и других фирм.

n  AV (attribute=value) – пары атрибут=значение, которые передаются между клиентом и сервером tacacs.

Теперь необходимо скачать сам сервер для *nix. Обитает он здесь: ftp://ftpeng.cisco.com/pub/tacacs (сервер ftp очень кривой, по нему особо не пороешься: не видно каталогов), к сожалению, только альфа-версия, но, похоже, из состояния альфа он не выберется никогда, т.к. сама Cisco его не поддерживает (что весьма странно) и отказывается от «любой ответственности». «Альфанутость» tacacs_plus-сервера мне довелось прочувствовать на собственной шкуре: пришлось его маленько доработать, для того чтобы он начал выполнять свои функции. Итак, вначале правим Makefile: по умолчанию раскомментированы настройки для Solaris.

# For Solaris (SUNOS 5.3, 5.4, 5.5, 5.6) uncomment the following two lines

OS=-DSOLARIS

OSLIBS=-lsocket -lnsl

Выбираем нужную ОС и раскомментируем нужные строчки:

# For LINUX

OS=-DLINUX

#

# On REDHAT 5.0 systems, or systems that use the new glibc, you might instead need the following:

OS=-DLINUX -DGLIBC

OSLIBS=-lcrypt

Добавляем пользователя и группу для сервера, пишем в Makefile UID и GID (по умолчанию эти строки закомментированы, запуск идёт от рута, что не есть хорошо, особенно для альфа-версии):

USERID     = 1500

GROUPID    = 25

FLAGS      = -DTAC_PLUS_USERID=$(USERID) -DTAC_PLUS_GROUPID=$(GROUPID)

Указываем pid-файл:

# On startup, tac_plus creates the file /etc/tac_plus.pid (if possible), containing its process id.

# Uncomment and modify the following line to change this filename

 PIDFILE = -DTAC_PLUS_PIDFILE="/var/run/tac_plus.pid"

При компиляции у меня возникли ещё две небольшие проблемы:

n  все сырцы были записаны в формате DOS, поэтому пришлось вначале написать простенький скрипт: