Cisco ise Tacacs Konfigurasyonu

Merhaba arkadaşlar bu makalemde Cisco ise üzerinden switchlerin domain controller kullanıcı hesapları ile yönetiminin nasıl yapılacağını sizlerle paylaşacağım

Öncelikle cisco ise dc ile entegre etmeniz gerekiyor, daha sonra aşağıdaki gibi sırasıyla switchleri ekleyip kuralları yazmanız gerekiyor

  1. Switch, Router ve WLC device’ları eklemek için aşağıdaki gibi –Work Centers,- Device Administrator,- Network Resources,- Network Devices

İp address- switch,router veya WLC cihazın ip adresi

TACACS+ AUTHENTİCATİON SETTİNGS işaretlemeniz gerekiyor,

Shared Secret şifre belirlemelisiniz (authentication şifresi)

Enable Single Connect Mode işaretleyin(cisco’ya özel bir protokoldür) farklı marka switch varsa işaretlemeyin

TACACS+ Draft Compliance Single Connect Support (işaretleyin,)

Grup belirlemek isterseniz Cisco_All fonksiyonunu kullanarak belirtebilirsiniz

 

Screen%20Shot%202019-08-25%20at%2019.35.19%20copy.png

Screen%20Shot%202019-08-25%20at%2019.29.54%20copy.png

evet switchleri ve network cihazlarını yukarıdaki gibi ekledikten sonra diğer aşamaya geçebiliriz

  1. Policy Results yazacağız, buradaki adım kullanıcıların yazacakları command ve erişim yetkileri dir, (yani L1 kullanıcısı sadece Show run komutunu çalıştırabilir) L2 belirli configleri değiştirebilir, L3 admin yetkili gb.

Komut yetkilendirlerini ve seviye gruplarını aşağıdaki gibi yapabilirsiniz

Screen%20Shot%202019-08-25%20at%2019.31.49%20copy.png

aşağıda kullanıcı gruplarının hangi komutları çalıştırabileceğini belirtebilirsiniz

Screen%20Shot%202019-08-25%20at%2019.33.27%20copy.png

şimdi profile işlemlerine geçebiliriz.

  1. TACACS Profiles tanımlama

Evet aşağıdaki işlemde tacacs+ line vty için Privilege’ye yetki tanımlaması yapacağız

Full yetkili seviyesi olarak leven 15 olacak maximum ve default değeleri 15 yapabilirsiniz

İsterseniz Access control list tanımlayıp erişilmesi gerek cihazlarada acl yazabilirsiniz

Cisco ise ile istediğiniz herşeyi yapmak mümkün ucu açık bir dünya

Screen%20Shot%202019-08-25%20at%2019.30.57%20copy.png

aşağıda’da oluşturduğumuz profile son hali

Screen%20Shot%202019-08-25%20at%2019.30.32%20copy.png

profile tanımıda bittiğine göre artık policy adımlarına geçebiliriz

  1. Device admin policy sets (cihaz erişim ve yetki kural tanımlamaları)

Evet arkadaşlar aşağıdaki işlemde ilk önce authentication yani doğrumalayı nerden yapacak yani ortamda domain controller sunucudanmı yoksa cisco ise üzerindeki local users/endpoint manual açılan kullanıcılar üzerinden’mi bunu belirtmemiz gerekli

AUTHENTİCATİON POLİCY ;

AD_ADMIN – Burada belirttiğim iki aşama var biri ortamdaki dc sunucum üzerindeki kullanıcıları çekecek login olurken

DEFAULT RULE – cisco ise üzerinde manual olarak oluşturduğum kullanıcı bilgilerini çekecek

domain_kullanıcılı_tacacs%20copy.png

AUTHORİZATİON POLİCY ;

Kullanıcıların hangi yetkiler çerçevesinde cihazlara login olacağı ve domain üzerinden gelecekse kullanıcı hangi gruptan geleceğini belirtiyorsunuz

COMMAND SETS; yukarıda oluşturduğumuz komutların hangisini kullanacak login olan kullanıcı ,

İsterseniz hangi cihazlara bağlanması gerektiğini buradanda seçebilirsiniz

Genel itibari ile cisco Tacacs+ böyle kullanılır tabi NOC ekibiniz yoksa var ise dahada kapsamlı özelleştirebiliriz bu arada 500+ üzeri router switch ve network cihazlarında

Cisco İse üzerinden Banner yazabilirsiniz ve özelleştirebilirsiniz

Aşağıdaki resimde DC_ADMİN_ACCESS kısmında conditions’a takılmayın sunucu doğrulamasını yukarıda belirtmiş olduğum AUTHENTİCATİON belirler o yüzden AUTHORİZATİON policy pek bir önemi yok o tarafta dediğim gibi Cisco ise’ı istediğiniz gibi şekillendirebilirsiniz firewall mantığında çalışıyor zaten hatta kuralları yukarında aşağı doğru okuyor yani yazdığınız kurallara dikkat edin okuma sıralaması vardır herzaman üstteki kurala öncelik verir ise

cisco_ise_tacacs%20copy.png

evet bittimi bitmedi şuan sadece ise tarafındaki policy ve results’ları yazdık

şimdi cisco switch tarafındaki ise ile entegre etmeye geldi sıra

Buradaki linkten Cisco tarafındaki komutları yapabilirsiniz.

 

Leave a Reply

Your email address will not be published. Required fields are marked *