Cisco AAA + Tacacs+ en un ACS Server

Para configurar la autenticación de usuarios en un switch de Cisco (en mi caso era un 26xx, pero es igual para todos). Tacacs+ en un ACS server también de Cisco.

Lo primero es dar de alta el equipo en el ACS server.

Para hacerlo, entras … Network resources -> Network devices and AAA clients (si tienes mas coge uno y lo duplicas, luego le cambias la ip y listo).

Sino te va a tocar crearlo. Create -> Le pones el nombre y la ip del cacharro. Authentication Options marcas Tacacts+ y le pones la contraseña. Grabas y listo.

http://www.cisco.com/cisco/web/support/LA/110/1106/1106052_acs-aaa-tacacs-00.html#configuringtheserver

Ahora la configuración en el switch.

Primero (aunque no es necesario hacerlo lo primero, sino lo haces asi se queja) definimos el o los servidores de Tacacs+

conf t
tacacs-server host xxx.xxx.xxx.xxx
tacacs-server directed-request
tacacs-server kexxxxx (La contraseña que le has puesto en el ACS).

Despues …

aaa new model
aaa group server tacacs+ Nombre
server xxx.xxx.xxx.xxx (el (o los) servidor tiene que ser el mismo que has definido antes

Ahora solo falta decirle al equipo que quieres que autentique por el tacacs+

aaa authentication login default tacacs+ local (ojo con el local, siempre crea un usuario local por si el tacacs+ se va a la mierda, sino te quedas sin acceso).
aaa authorization exec default group tacacs+ none

Y para que guarde logs …

aaa accounting exec default start-stop group tacacs+
aaa accounitng commands 0 default start-stop group tacacs+ <- Ojo con el nivel de tus usuarios aaa accounting network default start-stop group tacacs+

Y con esto suele ser suficiente … otras cosas a tener en cuenta:

– Asegúrate de que llegas al ACS, por si tienes que añadir algún access list o similar, o por temas de routing.

http://www.cisco.com/c/en/us/support/docs/security-vpn/terminal-access-controller-access-control-system-tacacs-/10384-security.html

Y ahora los problemas … en caso de que no funcione …

Comprueba que llegas al ACS (otra vez) y que el puerto (tcp 49) est abierto.
Prueba a hacer un test desde el switch. test aaa group tacacs+ ususario password legacy

Y si eso no va … te toca tirar de debug.

debug aaa authentication
debug aaa authorization
debug tacacs
debug ip tcp transaction
term mon

Y no te olvides del no debug all al terminar.

http://www.cisco.com/c/en/us/support/docs/security-vpn/terminal-access-controller-access-control-system-tacacs-/200467-Troubleshoot-TACACS-Authentication-Issue.html

http://www.cisco.com/c/en/us/support/docs/security-vpn/terminal-access-controller-access-control-system-tacacs-/13864-tacacs-pppdebug.html

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.