Blog Agility

Autenticação da Gerência via Tacacs no F5

Autenticação da Gerência via Tacacs no F5

Por Renata Aparecida da Silva:

TACAC+ significa “Terminal Access Controller Access-Control System Plus”. Ele fornece a validação centralizada de usuários que tentam obter acesso aos BIG-IPs, realizando separadamente a autenticação, autorização a todos os serviços por meio de contas administrativas ou não. As credenciais do cliente são baseadas em autenticação básica, sendo nome de usuário e senha.

Abaixo, temos o passo a passo de como realizar a configuração dos BIG-IPs utilizando o TACAC+.

Ao acessar o BIG-IP clique no menu “System” siga os procedimentos abaixo:

Clique na opção “Users” /  “Authentication” conforme a tela abaixo.

Tips_2015_Maio_Renata Aparecida da Silva_Autenticao da Gerncia via Tacacs-1
Figura 1.

Campo 1: Selecione a opção ”Change”.

Campo 2: Selecione “User Directory”  selecione “Remote – TACACS+”.

Tips_2015_Maio_Renata Aparecida da Silva_Autenticao da Gerncia via Tacacs-2
Figura 2.

Na figura abaixo podemos ver os demais campos de configuração para o TACAC+ e as opções que devem ser configuradas.

Tips_2015_Maio_Renata Aparecida da Silva_Autenticao da Gerncia via Tacacs-3
Figura 3.

 

Abaixo a identificação dos campos e o que temos que configurar:

Campo 4: No campo “Servers”, digite o endereço IP do servidor TACACS+ e clique em “Add” . Repita este passo para adicionar demais servidores TACACS+.

Campo 5: No campo “Secret” digite a senha para autenticação do os TACACS+.

Campo 6: No campo “Confirm Secret”, repita a senha TACACS+.

Nota: Autenticação TACACS + pode falhar se o segredo compartilhado tiver caracteres especiais [1]. 

Campo 7: No campo “Encryption” deve-se manter o valor padrão de “Enable”.

Campo 8: No campo “Service Name” digite o nome do serviço, baseado nas configurações realizadas no Servidor TACAC+.

Nota: Esta é uma configuração obrigatória [1]. 

Campo 9: No campo “Protocol Name”, digite o valor “IP” para o nome do protocolo. Esta é uma configuração opcional, não sendo necessária para a execução do TACAC+.

Realizadas as configurações acima, selecione a opção “Advanced”, para habilitar os demais itens de configuração.

Campo 10: No campo “Authentication” selecione uma das opções, sendo “Authenticate to first server” ou “Authenticate to each server until success”.

Campo 11: No campo “Accounting Information”, você pode selecionar o Servidor que respondera a requisição de login primeiro, podendo ser “Send to first available server” ou “Send to all servers”.

Campo 12: No campo “Debug Logging”, por default ele vem desabilitado e esta opção é habilitada para realizar troubleshootings em caso de problemas com a autenticação utilizando o TACAC+.

 

Realizadas as configurações acima, temos que definir o tipo de política de acesso que usuários que não estão vinculados ao TACAC+ terão. Normalmente este tipo de acesso é definido pela equipe de Segurança de cada empresa.

Abaixo o descritivo dos campos para os usuários do tipo “External Users”.

Campo 12: No campo “Role”, você deve selecionar o tipo de perfil que o usuário terá no BIP-IP.

Campo 13: No campo “Terminal Access” selecione a opção de acesso apropriado para o BIG-IP, podendo ser o console Linux ou somente o Shell administrativo do BIG-IP.
O TACACS + é um modulo de autenticação que pode ser implementado no BIG-IP. Ele oferece segurança e centralização para um ambiente de rede. Além deste método de autenticação remota também podem ser implementados no BIP-IP as opções de:

  • Lightweight Directory Access Protocol (LDAP);
  • Remote Authentication Dial-In servcice usuário (RADIUS);
  • SSL certificado de cliente LDAP;
  • Online Certificate Status Protocol (OCSP).

Referências: [1] -SOL12304: TACACS+ authentication fails if the shared secret contains a number sign.
http://support.f5.com/kb/enus/solutions/public/12000/300/sol12304.html
[2]- SOL8808: Overview of TACACS+ Authentication.
http://support.f5.com/kb/enus/solutions/public/8000/800/sol8808.html

[3]- SOL8808: Overview of TACACS+ Authentication.
http://support.f5.com/kb/enus/solutions/public/8000/800/sol8808.html