Por Renata Aparecida da Silva:
TACAC+ significa “Terminal Access Controller Access-Control System Plus”. Ele fornece a validação centralizada de usuários que tentam obter acesso aos BIG-IPs, realizando separadamente a autenticação, autorização a todos os serviços por meio de contas administrativas ou não. As credenciais do cliente são baseadas em autenticação básica, sendo nome de usuário e senha.
Abaixo, temos o passo a passo de como realizar a configuração dos BIG-IPs utilizando o TACAC+.
Ao acessar o BIG-IP clique no menu “System” siga os procedimentos abaixo:
Clique na opção “Users” / “Authentication” conforme a tela abaixo.
Campo 1: Selecione a opção ”Change”.
Campo 2: Selecione “User Directory” selecione “Remote – TACACS+”.
Na figura abaixo podemos ver os demais campos de configuração para o TACAC+ e as opções que devem ser configuradas.
Abaixo a identificação dos campos e o que temos que configurar:
Campo 4: No campo “Servers”, digite o endereço IP do servidor TACACS+ e clique em “Add” . Repita este passo para adicionar demais servidores TACACS+.
Campo 5: No campo “Secret” digite a senha para autenticação do os TACACS+.
Campo 6: No campo “Confirm Secret”, repita a senha TACACS+.
Nota: Autenticação TACACS + pode falhar se o segredo compartilhado tiver caracteres especiais [1].
Campo 7: No campo “Encryption” deve-se manter o valor padrão de “Enable”.
Campo 8: No campo “Service Name” digite o nome do serviço, baseado nas configurações realizadas no Servidor TACAC+.
Nota: Esta é uma configuração obrigatória [1].
Campo 9: No campo “Protocol Name”, digite o valor “IP” para o nome do protocolo. Esta é uma configuração opcional, não sendo necessária para a execução do TACAC+.
Realizadas as configurações acima, selecione a opção “Advanced”, para habilitar os demais itens de configuração.
Campo 10: No campo “Authentication” selecione uma das opções, sendo “Authenticate to first server” ou “Authenticate to each server until success”.
Campo 11: No campo “Accounting Information”, você pode selecionar o Servidor que respondera a requisição de login primeiro, podendo ser “Send to first available server” ou “Send to all servers”.
Campo 12: No campo “Debug Logging”, por default ele vem desabilitado e esta opção é habilitada para realizar troubleshootings em caso de problemas com a autenticação utilizando o TACAC+.
Realizadas as configurações acima, temos que definir o tipo de política de acesso que usuários que não estão vinculados ao TACAC+ terão. Normalmente este tipo de acesso é definido pela equipe de Segurança de cada empresa.
Abaixo o descritivo dos campos para os usuários do tipo “External Users”.
Campo 12: No campo “Role”, você deve selecionar o tipo de perfil que o usuário terá no BIP-IP.
Campo 13: No campo “Terminal Access” selecione a opção de acesso apropriado para o BIG-IP, podendo ser o console Linux ou somente o Shell administrativo do BIG-IP.
O TACACS + é um modulo de autenticação que pode ser implementado no BIG-IP. Ele oferece segurança e centralização para um ambiente de rede. Além deste método de autenticação remota também podem ser implementados no BIP-IP as opções de:
- Lightweight Directory Access Protocol (LDAP);
- Remote Authentication Dial-In servcice usuário (RADIUS);
- SSL certificado de cliente LDAP;
- Online Certificate Status Protocol (OCSP).
Referências: [1] -SOL12304: TACACS+ authentication fails if the shared secret contains a number sign.
http://support.f5.com/kb/enus/solutions/public/12000/300/sol12304.html
[2]- SOL8808: Overview of TACACS+ Authentication.
http://support.f5.com/kb/enus/solutions/public/8000/800/sol8808.html
[3]- SOL8808: Overview of TACACS+ Authentication.
http://support.f5.com/kb/enus/solutions/public/8000/800/sol8808.html