Senin, Mei 18, 2009

Access Authentication Control with TACACS+

Cukup banyak pertanyaan yang menanyakan apakah D-Link Managed Switches support TACACS+ untuk Access Authentication Control-nya? Hampir semua D-Link Managed Switches support TACACS+ sbg metode dalam Access Authentication Control (kecuali DES-3000 Series yaitu DES-3010G/F/FL/3016/3018/3026).

TACACS+ adalah protokol yang digunakan sbg access authentication control pada perangkat-perangkat jaringan melalui satu atau lebih server yang ter-sentralisasi. Jadi pada network yang besar, misalnya ada 1000 switches, sangat sulit bila kita setting local user pada masing2 switch itu dan bisa berakibat tidak konsisten-nya password atau privilege dari users (misalnya user A pada switch pertama hanya mempunyai privilege user sdgkan user A pada switch kedua mempunyai privilege admin). Maka dari itu biasanya utk deployment besar, account untuk akses ke perangkat jaringan di-sentralisasi menggunakan satu atau lebih dedicated server. Dan TACACS+ adalah salah satu protokol yang paling banyak digunakan.

Skenario dalam HOWTO kali adalah setiap user Telnet harus diautentikasi oleh TACACS+ server sbg user biasa, namun user ini bisa menjadi admin dengan mengetikkan “enable admin” dan password enable_admin ini berbeda dengan password user biasa.


Layout yang digunakan :



Software TACACS+ Server yang digunakan adalah Tac_Plus yang bisa didownload di ftp://ftp.shrubbery.net/pub/tac_plus/, disini saya tidak membahas langkah2 menginstall software ini, namun langkah2nya bisa ditemukan di file INSTALL pada paket-nya atau banyak tutorial yang ada di Internet (tergantung OS yang digunakan).

Dalam contoh ini saya menggunakan D-Link L3 Managed Switches DES-3828.

Langkah-langkahnya :

1. Pada tac_plus.conf berisi :



Pada contoh kali ini hanya ada 1 user yaitu dlink, dengan password login “1234” dan password untuk menjadi admin (enable_admin) : “5678”, name disini sebagai keterangan dari user dlink

2. Pada skenario kali ini, saya membuat urutan utk telnet user adalah pertama diautentikasi oleh TACACS+, bila server ini tidak ada maka diautentikasi oleh local user, maka dari itu pertama kita buat user local admin dgn right admin, password disini digunakan “admin”.



3. Ganti IP switch ke 192.168.10.5/24. Switch ini harus bisa “berbicara” dgn TACACS+ Server.



4. Define TACACS+ Server beserta Key yg ada pada file tac_plus.conf tadi ke DES-3828.



5. Define rule untuk login (disini akan dibedakan menjadi 2 yaitu akses login dan akses enable). Urutannya autentikasi oleh tacacs+ kalau tidak available akan diautentikasi oleh lokal. Beri nama “Akses-User”.



6. Define rule untuk enable (disini akan dibedakan menjadi 2 yaitu akses login dan akses enable). Urutannya autentikasi oleh tacacs+ kalau tidak available akan diautentikasi oleh lokal. Beri nama “Akses-Super”.



7. Define aplikasi yang akan diautentikasi lewat TACACS+, dalam contoh ini yaitu Telnet.



8. Terakhir. Aktifkan authentication policy, lalu verifikasi apakah sudah aktif dengan perintah “show authen_policy”.


9. Verifikasi apakah TACACS+ sudah benar :



10. Verifikasi apakah fungsi-fungsi enable_admin dan parameter sudah benar : (parameter bisa disesuaikan dgn kebutuhan)



11. Verifikasi apakah Telnet sudah diapply dgn policy yg kita buat tadi :



12. Save konfigurasi yang sudah kita buat dengan perintah "save".


Setelah itu kita jalankan TACACS+ Server, dikarenakan pada contoh ini menggunakan Tac_Plus, maka jalankan spt dibawah ini :



Kemudian dari PC Test, kita telnet ke switch :



Waktu pertama kali telnet maka akan ditanya username n password, disini masukkan username yg telah kita buat tadi yaitu “dlink” dan password login yaitu “1234”. Maka setelah diverifikasi user itu bisa login namun right-nya hanya user biasa, artinya tidak punya priviledge admin.

Untuk mengubah user ini menjadi admin, kita ketik “enable admin”, maka akan di-challenge lagi utk memasukkan password, disini kita masukkan password enable yaitu “5678”, maka priviledge-nya akan naik menjadi admin.

Bagaimana kalau TACACS+ server-nya down? bila TACACS+ down atau tidak reachable oleh switch maka authentication akan pindah ke local authentication sesuai dgn urutan yang kita buat tadi diatas. Contohnya :

4 komentar:

Mas Arwan mengatakan...

mantafff.......

D-Link Indonesia mengatakan...

To : Mas Arwan

"mantafff"

---> Terima kasih atas komentarnya yang baik :-)

Mudah2an membantu

ahmadkomputer mengatakan...

thanks sangat berguna

ahmadkomputer mengatakan...
Komentar ini telah dihapus oleh pengarang.