Rancid Tacacs Cisco

PASOS A SEGUIR:

1.- Configurar RANCID:
**

Servidor IP: 213.190.0.227

A._ Creamos grupo. En nuestro caso dos: core y customer.
Editamos archivo /etc/rancid/rancid.conf. La línea es: LIST_OF_GROUPS="core customers"

B._ Creamos el /var/lib/rancid/.cloginrc
Este archivo nos permitirá obtener los logs automáticamente de los dispositivos.
add user * {rancid}
add password * {rancid_login} {rancid_enable}
add autoenable *.*.hummy.org {1}
Ejecutamos rancid-cvs: $ /usr/lib/rancid/bin/rancid-cvs
Cada grupo tendrá un directorio:
/var/lib/rancid/core/router.db
/var/lib/rancid/customers/router.db
Un ejemplo de lo que tendrán estos ficheros es:
eg01.mad1.hummy.org:juniper:up
eg01.mad2.hummy.org:juniper:up
ps01.mad2.hummy.org:cisco:up
….
Ejecutamos rancid-run: $ /usr/bin/rancid-run

Nosotros hemos hecho una modificación de en los archivos de configuración, luego tenemos que ejecutar:
$ var/lib/rancid/<grupo>/configs/cvs update

C._ Creamos un cron para monitorizar las configuraciones periódicamente:
$ /etc/rancid/rancid.cron.d

D._ Comprobar los logs en /var/log/rancid/..
También podemos comprobar que el usario para conectarnos al equipo remoto es correcto así: bin/clogin <ip_router> ¡¡¡¡Comprobar!!!!

2.- Configurar TACACS:
**

Servidor IP: 213.190.0.227 y 213.190.0.8
IP Cisco Catalyst: 213.190.0.171

A._ directorios y archivos de configuración:

$/etc/tac-plus/:

tacacs.conf
tacacs.conf.customers
passwd
passwd.customers

B._ Formato archivos. P.e.: tacacs.conf

default authentication = file /etc/tac-plus/passwd
accounting file = /var/log/tac-plus/account
key = 12E456T890

host = x.x.x.x {
key = xxxxxxxxx
type = cisco
}
….

user = prueba {
default service = permit
name = "Usuario de prueba"
maxsess = 2
service = junos-exec {
local-user-name = prueba
}
service = exec {
default attribute = permit
idletime = 300
priv-lvl = 15
}
}
user = ranciduser {
default service = permit
maxsess = 2
service = junos-exec {
local-user-name = ranciduser
allow-commands = ".noop-command|set cli [c|s].*|show chassis (clo|env|fir|fpc|har|rou|scb|sfm|ssb|feb|cfe|ala).*|show system boot-messages|show version detail|show configuration|quit"

  1. deny-commands = ".*"

deny-commands = "file|help|request|test|show|set"
}
cmd = exit {
}
cmd = write {
permit term
deny .*
}
cmd = dir {
permit .*
}
cmd = show {
permit .*
}
service = exec {
default attribute = permit
priv-lvl = 15
}
}

C._ Crear password en MD5. Importante añadir las password al archivo en MD5. Primero crearlas y luego añadirlas al archivo.
Las password están en /etc/tac-plus/passwd y /etc/tac-plus/passwd.customer

D._ iniciar/parar/reiniciar servicio. Siempre hay que hacerlo despues de realizar cambios para que las dichos cambios surtan efecto.
/etc/init.d/tac_plus <restart/start/stop>
/etc/init.d/tac_plus.customer <restart/start/stop>
Para comprobar si el servicio está corriendo: /var/run/

E._ Comprobar iptables. Tenemos que permitir acceso desde el equipo a los puertos 49 (si es un equipo interno) o 4949 (si es de cliente).
F._ Comprobar que este salvada la passwd de enable para el nuevo equipo Cisco

3.- Configurar AAA Cisco Catalyst 6509
**

AAA: Authentication, Authorization, and Accounting

A._ Crear usuario también en local:

username ranciduser access-class 1320 user-maxlinks 2 password 7 02010D570A1406711E1E594D

Como hemos limitado el acceso con un access-list, tenemos que crear dicho acl:
access-list 1320 permit 213.190.0.7
access-list 1320 permit 213.190.0.227

B._ Configurar parámetros propios del servicio TACACS:

ip tacacs source-interface vlan 99

tacacs-server host 213.190.0.8 single-connection key 7 03275A07340D71554F591F2D22
tacacs-server host 213.190.0.227 single-connection key 7 143413073E067A322578351D17

Nota: primero tenemos que configurar 'aaa group' antes que los parametros del 'tacacs-server'

C._ Configurar AAA:

aaa new-model
!
!
aaa group server tacacs+ CPD
server 213.190.0.8
server 213.190.0.227
!
aaa authentication login vty-login group CPD local-case
aaa authentication login consola local
aaa authorization exec vty-login group CPD local if-authenticated
aaa authorization commands 15 vty-login group CPD local
aaa accounting exec vty-login start-stop group CPD
aaa accounting commands 1 vty-login start-stop group CPD
aaa accounting commands 15 vty-login start-stop group CPD
aaa accounting connection vty-login start-stop group CPD
!
aaa session-id common

D._ Configurar acceso:

line con 0
login authentication consola
..

line vty 0 4
authorization commands 15 vty-login
authorization exec vty-login
login authentication vty-login
..

line vty 5 15
authorization commands 15 vty-login
authorization exec vty-login
login authentication vty-login
..

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License