ডিবিয়ান 8 জেসিতে সিসকো রাউটার সহ টিএএএসিএসএস + ইনস্টলেশন ও কনফিগারেশন

প্রযুক্তি আজ নেটওয়ার্কিং সরঞ্জাম এবং সেই নেটওয়ার্কিং সরঞ্জামগুলির যথাযথ কনফিগারেশনের উপর নির্ভর করে। প্রশাসকদের কনফিগারেশন পরিবর্তনগুলি প্রয়োগের আগে পুরোপুরি পরীক্ষা করা হয় না তা নিশ্চিত করেই এই দায়িত্ব নির্ধারিত করা হয় যে কোনওরকম কনফিগারেশন পরিবর্তনগুলি অনুমোদিত ব্যক্তিরা পরিবর্তনগুলি করার পাশাপাশি পরিবর্তনগুলি লগ হয়েছে কিনা তা নিশ্চিত করার মাধ্যমে করা হয়।

এই সুরক্ষা নীতিটি এএএ (ট্রিপল-এ) বা প্রমাণীকরণ, অনুমোদন এবং অ্যাকাউন্টিং হিসাবে পরিচিত। দুটি অত্যন্ত বিশিষ্ট সিস্টেম রয়েছে যা প্রশাসকদের ডিভাইসগুলি এবং যে সমস্ত ডিভাইসগুলি পরিবেশন করে সেই নেটওয়ার্কগুলিতে অ্যাক্সেস সুরক্ষিত করার জন্য অ্যাএএ কার্যকারিতা সরবরাহ করে।

রেডিয়াস (রিমোট অ্যাক্সেস ডায়াল ইন ব্যবহারকারী পরিষেবা) এবং টিএএসিএসিএস + (টার্মিনাল অ্যাক্সেস কন্ট্রোলার অ্যাক্সেস-কন্ট্রোল সিস্টেম প্লাস)।

রেডিয়াসটি traditionতিহ্যগতভাবে ব্যবহারকারীদের নেটওয়ার্ক অ্যাক্সেস করতে প্রমাণীকরণ করতে ব্যবহৃত হয় যা TACACS এর বিপরীতে TACACS ডিভাইস প্রশাসনের জন্য ব্যবহৃত হয়। এই দুটি প্রোটোকলের মধ্যে বড় পার্থক্যগুলির মধ্যে একটি হ'ল টিএএএসিএসএস-এর এএএ ফাংশনকে স্বতন্ত্র ফাংশনে পৃথক করার ক্ষমতা।

এএএ ফাংশনগুলির টিএএএসিএসএস বিভাজনের সুবিধাটি হ'ল কিছু ব্যবহারকারীর নির্দিষ্ট আদেশগুলি কার্যকর করার ক্ষমতা নিয়ন্ত্রণ করা যায়। এটি এমন সংস্থাগুলিগুলির পক্ষে খুব উপকারী যা যারা নেটওয়ার্কিং স্টাফ বা অন্যান্য আইটি প্রশাসকের খুব ভিন্নতর কমান্ডের সুবিধার সাথে বিভিন্ন কমান্ড সুবিধাগুলি সরবরাহ করতে চান।

এই নিবন্ধটি টিএএএসিএসএস + সিস্টেম হিসাবে কাজ করার জন্য একটি ডেবিয়ান সিস্টেম স্থাপনের মধ্য দিয়ে যাবে।

  1. ডেবিয়ান 8 ইনস্টল হয়েছে এবং নেটওয়ার্ক সংযোগের সাথে কনফিগার করেছে। কীভাবে ডেবিয়ান 8
    2. ইনস্টল করবেন সে সম্পর্কে এই নিবন্ধটি পড়ুন
  2. সিসকো নেটওয়ার্কের স্যুইচ 2940 (বেশিরভাগ অন্যান্য সিসকো ডিভাইস পাশাপাশি কাজ করবে তবে স্যুইচ/রাউটারের আদেশগুলি পৃথক হতে পারে)

ডেবিয়ান 8 এ টিএএএসিএসএস + সফ্টওয়্যার ইনস্টল করা

এই নতুন টিএএএসিএস সার্ভার স্থাপনের প্রথম পদক্ষেপটি হ'ল সংগ্রহস্থলগুলি থেকে সফ্টওয়্যার অর্জন করা। এটি সহজেই ‘অ্যাপ্ট’ কমান্ড ব্যবহার করে সম্পন্ন হয়।

# apt-get install tacacs+

উপরের কমান্ডটি পোর্ট 49-এ সার্ভার পরিষেবা ইনস্টল করে শুরু করবে several বেশ কয়েকটি ইউটিলিটি দিয়ে এটি নিশ্চিত হওয়া যায়।

# lsof -i :49
# netstat -ltp | grep tac

এই দুটি কমান্ডের এমন একটি লাইন ফিরে পাওয়া উচিত যা নির্দেশ করে যে TACACS এই সিস্টেমে 49 পোর্টটিতে শুনছে।

এই মুহুর্তে টিএএএসিএস এই মেশিনে সংযোগের জন্য শুনছে। এখন সময় টিএএএসিএএসএস পরিষেবা এবং ব্যবহারকারীদের কনফিগার করার জন্য।

TACACS পরিষেবা এবং ব্যবহারকারীদের কনফিগার করা হচ্ছে

সার্ভারের একাধিক ঠিকানা থাকলে এমনটি নির্দিষ্ট আইপি ঠিকানাগুলিতে পরিষেবাগুলিকে আবদ্ধ করা একটি ভাল ধারণা। এই কাজটি সম্পাদন করার জন্য, আইপি ঠিকানা নির্দিষ্ট করতে ডিফল্ট ডিমন বিকল্পগুলি পরিবর্তন করা যেতে পারে।

# nano /etc/default/tacacs+

এই ফাইল টিএএএসিএসএস সিস্টেমটি শুরু করা উচিত ডেমনের সমস্ত সেটিংস নির্দিষ্ট করে। ডিফল্ট ইনস্টলেশন কেবল কনফিগারেশন ফাইল নির্দিষ্ট করে। এই ফাইলটিতে একটি ‘-বি’ যুক্তি যুক্ত করে, একটি নির্দিষ্ট আইপি ঠিকানা টিএএএসিএসএস শোনার জন্য ব্যবহার করা যেতে পারে।

DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf " - Original Line
DAEMON_OPTS="-C /etc/tacacs+/tac_plus.conf -B X.X.X.X " - New line, where X.X.X.X is the IP address to listen on

ডেবিয়ান-এ বিশেষ দ্রষ্টব্য: কোনও কারণে টিম্যাকস + পরিষেবাটি নতুন ডেমন বিকল্পগুলি পড়ার জন্য পুনরায় চালু করার চেষ্টা করা ব্যর্থ হয়েছে (পরিষেবাটি tacacs_plus পুনরায় চালু করার মাধ্যমে)।

এখানে সমস্যাটি মনে হয় যখন টিএএএসিএসএসটি আরআইপি স্ক্রিপ্টের মাধ্যমে শুরু করা হয়, পিআইডি স্থিতিস্থাপিতভাবে "PIDFILE =/var/run/tac_plus.pid" তে সেট করা থাকে তবে যখন "-B XXXX" একটি ডিমন বিকল্প হিসাবে নির্দিষ্ট করা হয়, নাম পিড ফাইলটির "/var/run/tac_plus.pid.XXXX" এ পরিবর্তন করা হয়েছে।

আমি পুরোপুরি নিশ্চিত নই যে এটি কোনও বাগ বা না হলেও পরিস্থিতি সাময়িকভাবে মোকাবেলা করার জন্য, কেউ নিজেই আরআইপি স্ক্রিপ্টে পিআইডিএফআইএল সেট করতে পারেন যেখানে লাইনটি "পিআইডিএফএল =/ভার/রান/ট্যাক_প্লাস.পিড.এক্সএক্সএক্সএক্সএক্স" এ পরিবর্তন করতে পারবেন এক্সএক্সএক্সএক্স হল আইপি ঠিকানা টিএএএএসিএসএস শোনা উচিত এবং তারপরে পরিষেবাটি শুরু করা উচিত:

# service tacacs_plus start

পরিষেবাটি পুনরায় আরম্ভ করার পরে, lsof কমান্ডটি আবার TACACS পরিষেবাটি সঠিক আইপি ঠিকানায় শুনছে কিনা তা নিশ্চিত করতে ব্যবহার করা যেতে পারে।

# lsof -i :49

উপরে যেমনটি দেখা গেছে, উপরের টিএএএসিএসএস ডিফল্ট ফাইলটিতে সেট করা আছে এমন একটি নির্দিষ্ট আইপি ঠিকানার উপর একটি আইপি ঠিকানার উপর শুনছে টিএএএসিএসস। এই মুহুর্তে ব্যবহারকারী এবং নির্দিষ্ট কমান্ড সেট তৈরি করা দরকার।

এই তথ্যটি অন্য একটি ফাইল দ্বারা পরিচালিত হয়: ‘/etc/tacacs+/tac_plus.conf’। উপযুক্ত পরিবর্তনগুলি করার জন্য এই ফাইলটিকে একটি পাঠ্য সম্পাদক দিয়ে খুলুন।

# nano /etc/tacacs+/tac_plus.conf

এই ফাইলটি যেখানে সমস্ত টিএএএসিএস স্পেসিফিকেশন থাকা উচিত (ব্যবহারকারীর অনুমতি, অ্যাক্সেস নিয়ন্ত্রণের তালিকা, হোস্ট কী ইত্যাদি)। প্রথম যে জিনিসটি তৈরি করা দরকার সেটি হল নেটওয়ার্ক ডিভাইসের জন্য একটি কী।

এই পদক্ষেপে অনেক নমনীয়তা রয়েছে। সমস্ত নেটওয়ার্ক ডিভাইসগুলির জন্য একটি একক কী কনফিগার করা যায় বা প্রতি ডিভাইসে একাধিক কী কনফিগার করা যায়। বিকল্পটি ব্যবহারকারীর হাতে রয়েছে তবে এই গাইড সরলতার জন্য একক কী ব্যবহার করবে।

key = "super_secret_TACACS+_key"

একবার কী কী কনফিগার করা হয়ে গেলে, এমন গ্রুপগুলি তৈরি করা উচিত যা ব্যবহারকারীদের পরে নির্ধারিত অনুমতিগুলি নির্ধারণ করে। গোষ্ঠী তৈরি করা অনুমতিগুলির প্রতিনিধিদের পক্ষে অনেক সহজ করে তোলে। নীচে পূর্ণ প্রশাসকের অধিকার নির্ধারণের উদাহরণ দেওয়া আছে।

group = admins {
        default service = permit
        service = exec {
                priv-lvl = 15
        }
}

  1. গ্রুপের নামটি "গ্রুপ = অ্যাডমিন" রেখার দ্বারা অ্যাডমিনদের গ্রুপ নাম হিসাবে নির্ধারিত হয়
  2. "ডিফল্ট পরিষেবা = অনুমতি" লাইনটি নির্দেশ করে যে কোনও আদেশ যদি সুস্পষ্টভাবে অস্বীকার না করা হয় তবে তা স্পষ্টভাবে অনুমতি দিন
  3. "পরিষেবাদি = এক্সিকিউট {প্রাইভ-এলভিএল = 15}" সিসকো ডিভাইসে এক্সিকিউটিভ মোডে বিশেষাধিকারের স্তর 15কে অনুমতি দেয় (সিসকো সরঞ্জামের মধ্যে সুবিধার স্তর 15 সর্বোচ্চ)।

এখন একজন ব্যবহারকারীকে অ্যাডমিন গ্রুপে নিয়োগ দেওয়া দরকার।

user = rob {
       member = admins
       login = des mjth124WPZapY
}

  1. "ব্যবহারকারী = রব" স্তবকটি রব-এর একটি ব্যবহারকারী-নামকে কিছু সংস্থান অ্যাক্সেস করতে দেয়
  2. "সদস্য = প্রশাসকগণ" TACACS + কে এই ব্যবহারকারীকে কী অনুমোদিত তা করার একটি তালিকা করার জন্য অ্যাডমিনস বলে আগের গ্রুপটি উল্লেখ করতে বলে tells
  3. চূড়ান্ত লাইন, "লগইন = ডেস এমজেথ 124 ডাব্লুপিজেপিওয়াই" এই ব্যবহারকারীকে প্রমাণীকরণের জন্য একটি ডেস এনক্রিপ্ট করা পাসওয়ার্ড (এই সুপার "জটিল" পাসওয়ার্ডের উদাহরণটি সনাক্ত করতে একটি ক্র্যাকার ব্যবহার করতে নির্দ্বিধায়)!

গুরুত্বপূর্ণ: সাধারণত সরল-পাঠ্যের পরিবর্তে এনক্রিপ্ট করা পাসওয়ার্ডগুলি এই ফাইলে রাখার জন্য এটি সর্বোত্তম অনুশীলন কারণ এটির ক্ষেত্রে যদি কেউ এই ফাইলটি পড়ে এবং অগত্যা অ্যাক্সেস না করে তবে এই সামান্য সুরক্ষা যোগ করে।

এর জন্য একটি ভাল প্রতিরোধমূলক ব্যবস্থা হ'ল কমপক্ষে কনফিগারেশন ফাইলে থাকা ওয়ার্ল্ড রিড অ্যাক্সেসও সরিয়ে দেওয়া। নিম্নলিখিত কমান্ডের মাধ্যমে এটি সম্পাদন করা যেতে পারে:

# chmod o-r /etc/tacacs+/tac_plus.conf
# service tacacs_plus reload

এই মুহুর্তে সার্ভার দিকটি নেটওয়ার্ক ডিভাইস থেকে সংযোগের জন্য প্রস্তুত। আসুন এখনই সিসকো সুইচে চলে আসুন এবং এই দেবিয়ান TACACS + সার্ভারের সাথে যোগাযোগের জন্য এটি কনফিগার করুন।