terça-feira, 12 de agosto de 2014

Configurando HWTACACS no COMWARE (Switches HP)

Configurando HWTACACS no COMWARE (Switches HP)

Introdução ao TACACS

TACACS é a sigla de Terminal Access Controller Access-Control System. É um protocolo com função de autenticação. Ou seja, podemos ter um servidor com uma aplicação que rode este protocolo e tenha uma base de usuários e senhas. Setamos um dispositivo, um switch por exemplo, que quando tentem logar nele, o switch consulte esse servidor de autenticação com TACACS para validar se o usuário possui ou não acesso àquele switch.

tacacs

Introdução ao HWTACACS

Assim como a Cisco desenvolveu uma melhoria do protocolo TACACS, criando o TACACS+, a Huawei desenvolveu o HWTACACS. Principais características: roda sob TCP, encripta todos os pacotes exceto os cabeçalhos (headers), separa a autenticação da autorização, desta forma podemos ter outros servidor dedicado e integrado trabalhando junto, suporta definição de comandos autorizados ou não para determinado usuário ou grupo de usuários.

hwtacacs

Procedimento: Configurando HWTACACS no Comware

Criando o escopo (scheme):

> system-view

] hwtacacs scheme [nome do escopo]

Indicando os servidores hwtacacs (pode ser o mesmo ou podemos dividir as funções entre vários servers):

] primary authentication [ip do server hwtacacs]

] primary authorization [idem]

] primary accounting [idem]

Setando a chave de criptografia a ser utilizada:
(Vale lembrar de usar uma chave (senha) com mais de 8 caracteres, contendo letras maiúsculas, minúsculas, números e carácteres especiais.)

] key authentication simple [senha, chave para criptografar as comunicações]

] key authorization simple [idem]

Fomato do nome de usuário:

] user-name-format [opção] //ex.: "] user-name-format without-domain"

] quit

Setando as configurações de domínio do sistema para usar o HWTACACS:

] domain system

] authentication login hwtacacs-scheme [nome do escopo] local

] authorization login hwtacacs-scheme [idem] local

] accounting login hwtacacs-scheme [idem] local

] quit

Setando IP de saída do switch para o servidor HWTACACS:

] hwtacacs nas-ip [ip]

Configurar o vty para usar o HWTACACS:

] user-interface vty 0 15

] authentication-mode scheme