TACACS.netの使い方

IT

TACACS+サーバーを構築できるソフトウェアである、TACACS.netの使い方を紹介します。

TACACS.netのサイトは以下になります。

TACACS.net
Centrally manage and secure your network devices with one easy to deploy solution. Easy to implement, transparent to users, granular access control.

TACACS.netのインストール

TACACS.netのデモ版と有料版

TACACS.netはデモ版と有料版の2種類あります。

TACACS.netはオープンソースというわけではなく、お客さんにとりあえず使ってもらうためにデモ版を要しているのかな、と思ってます。(私見)

ありがたい。

デモ版は制限があるのもの、無料で使うことが可能です。

デモ版の制限については、公式サイト(https://tacacs.net/download/)を参照していただきたいですが、影響がありそうなのを一つ紹介しておくと、

デモ版では

5つの機器と3つのユーザーだけ登録可能

です。

ご注意ください。

TACACS.netの入手とインストール

※以下、windows10でのインストール・設定方法です。

インストーラの入手

TACACS.netの公式サイト(https://tacacs.net/download/)からダウンロードします。

ダウンロードの際には名前はメールアドレスなどの各種情報の入力が必要になります。

インストール

ダウンロードしたインストーラを実行し、インストールを開始します。

通常、表示されるプログラムの指示通りに進んでいけば問題ないです。

インストールの途中で、TACACS+で使用する暗号鍵の設定を支持されるので、設定します。(「choose a Shared Secret」のというように表示されていると思うので、任意の文字列を設定します。)

この暗号鍵はあとから変更することが可能なのでインストール時は仮のものでも大丈夫です。

インストールが完了すると、デフォルトの場合、下記のように関連フォルダ・ファイルが作られます。

  • プログラム : C:\Program Files (x86)\TACACS.net
  • 設定ファイル : C:\ProgramData\TACACS.net\config
  • ログ : C:\ProgramData\TACACS.net\Logs

windows10の場合、スタートのプログラムに下記のように登録されると思います。

configurationやlogsはよく使うと思いますので、スタートメニューから行けるということを覚えておいてもいいと思います。

  • Configuration : 設ファイルのあるフォルダへのショートカット
  • Documentation : TACACS.netの公式文書(インターネット)へのショートカット
  • gass : 用途がわからない(笑)、TCACS.netプログラムのあるディレクトリでコマンドプロンプトが開く。
  • Logs : ログファイルの格納場所へのショートカット
  • Readme.rtf : リードミー。
  • TACACS.net home page : TACACS.netホームページのトップページが開く。(インターネット)
  • TACACS+ EULA : エンドユーザーライセンス条項
  • TACDES : 暗号化されたパスワードの生成ツール。
  • TACText : 「TACACS +の要求と応答のテストおよびパフォーマンステストに使用できるTACACS +クライアント」とのこと。
  • Uninstall TACACS.net : TACACS.netのアンインストール

TACACS.netの起動・停止

TACACS.netの起動・停止はコマンドプロンプトから行います。

※管理者権限で実行します。

起動確認

TACACS.netはインストールの完了時に自動で実行されていると思います。

実行されているかどうかの確認はコマンドプロンプトで確認します。

コマンドプロンプトを開き、コマンドを実行します。

「net start | findstr TACACS.net」

“TACACS.net”と表示されれば、TACACS.netが起動しています。

起動

管理者権限でコマンドプロンプトを開き、コマンドを実行します。

「net start TACACS.net」

停止

管理者権限でコマンドプロンプトを開き、コマンドを実行します。

「net stop TACACS.net」

再起動

停止・起動の手順をそれぞれ順番に実行します。

TACACS.netの設定

設定ファイルについて

スタートメニュー > TACACS.net > Configurationを押下すると、エクスプローラーが開き、各種設定ファイルが格納されているフォルダが開きます。

  • authentication.xml : 認証設定
  • authorization.xml : 認可設定
  • clients.xml クライアントの設定
  • googleotp.xml : 不明
  • logging.xml : ロギング設定
  • tacplus.xml : リッスンの設定など

これらの設定ファイルはインストール時に自動的に作られます。

もし、ファイルを紛失した場合は、公式サイトからデフォルトのファイルをダウンロードできます。

Documentation - TACACS.net

ダウンロードして、元のフォルダに格納しましょう。

初期設定のままでは認証できないので、最低限以下を編集する必要があります。

  • authentication.xml : 認証設定
  • suthorization.xml : 認可設定
  • tacplus.xml : リッスンの設定など

TACACS.netの設定手順

認証設定

authentication.xmlをテキストエディタで編集します。

ここではユーザー名やパスワードについて設定を行います。

なお、authentication.xmlの設定はファイル保存後即時反映なので、TACACS.netを再起動する必要はありません。

<UserGroup>
  <Name>Network Engineering</Name>
  <AuthenticationType>File</AuthenticationType>
  <!--
    <Users>
      <User>
      <Name>user1</Name>
        <LoginPassword ClearText="somepassword" DES=""> </LoginPassword>
        <EnablePassword ClearText="" DES=""></EnablePassword>
        <CHAPPassword ClearText="" DES=""> </CHAPPassword>
        <OutboundPassword ClearText="" DES=""> </OutboundPassword>
      </User>

~~省略~~

  -->
</UserGroup>

デフォルトでユーザーグループと2つのユーザーがコメントアウトされた状態で記載されています。ユーザーのコメントアウト(<!– –>)を消してユーザーを有効にするか、ユーザータグを追加してユーザーを登録します。

Nameタグがユーザー名、「LoginPassword ClearText=」以降がログインパスワードです。

パスワードは”(ダブルクォーテーションマーク)で囲みます。

DESで暗号化されたテキストも登録可能で、「DES=」の後に記載します。

新しくユーザーグループを作ることもできます。

ただし、このユーザーグループとauthorization.xmlの設定内容が紐づくので、注意してください。

ユーザーグループを作った、または名前を変更した場合はauthorization.xmlも漏れなく変更するようにしましょう。

認可設定

authorization.xml をテキストエディタで編集します。

ここではユーザーグループごとに許可するコマンドやサービスを指定します。

なお、 authorization.xml の設定はファイル保存後即時反映なので、TACACS.netを再起動する必要はありません。

Authorizationタグの中でユーザーグループごとの認可設定をします。

  • UserGroupタグ : ユーザーグループ名の指定。authentication.xml内に設定したユーザーグループと紐付く。
  • ClientGroupタグ : client.xmlに紐付く。
  • AutoExecタグ : ユーザーがログインした時に自動で実行する動作を指定できる。
  • Shellタグ : ユーザーがログイン後に実行することのできるコマンドを指定する。正規表現使用可。
  • Servicesタグ : サービスの指定。Attribute関連の設定もここに記載する。
<Authorization>
  <UserGroups>
    <UserGroup>Network Engineering</UserGroup>
  </UserGroups>

  <ClientGroups>
    <ClientGroup>LOCALHOST</ClientGroup>
    <ClientGroup>INTERNAL</ClientGroup>
  </ClientGroups>

  <AutoExec>
  </AutoExec>

  <Shell>
    <Permit>.*show.*</Permit>
    <Deny>.*</Deny>
  </Shell>

  <Services>
  </Services>

</Authorization>

初期設定ではShellタグのところで、「show」コマンドのみ許可されています。

Shellタグ内を編集して必要なコマンドを許可します。Permitタグで許可、Denyタグで不許可のコマンドを指定します。

コマンドの指定には正規表現が使用可能です。

リッスン設定

tacplus.xml をテキストエディタで編集します。

ここでサーバーのリッスンするポートやアドレスを指定します。

認証時やログイン拒否時のプロンプトやタイムアウト値もここで設定できます。

tacplus.xmlの変更後の設定でTACACS.netを使用するには、TACACS.netを再起動する必要があります。

<Server ******>
  <Port>49</Port>
  <LocalIP>127.0.0.1</LocalIP>
  <DisabledPrompt>This account has been disabled</DisabledPrompt>
  <PasswordPrompt>Password: </PasswordPrompt>
  <UserNamePrompt>Username: </UserNamePrompt>
  <ExpiredPasswordPrompt>The password for this account has expired</ExpiredPasswordPrompt>
  <IncorrectPasswordPrompt>Incorrect Password</IncorrectPasswordPrompt>
  <IncorrectUserOrPasswordPrompt>Invalid username or incorrect password</IncorrectUserOrPasswordPrompt>
  <SocketTimeoutSecs>30</SocketTimeoutSecs>
  <AccountLockoutTries>6</AccountLockoutTries>
  <AccountLockoutperiodMins>30</AccountLockoutperiodMins>
  <SessionIdleTimeoutMins>15</SessionIdleTimeoutMins>
  <TimedCacheExpirySecs>5</TimedCacheExpirySecs>
  <OTPSeparator>*</OTPSeparator>
      
  <AuthorizationRuleRequiredForAuthentication>Disabled</AuthorizationRuleRequiredForAuthentication>
</Server>

デフォルトでは49ポート、127.0.0.1からのリッスンとなっています。

すべてのアドレス帯からリッスンする場合は、LocalIPタグで0.0.0.0を指定します。

クライアント設定

client.xmlで、インストール時に設定した暗号化鍵(Secret Key)を変更できます。

クライアントグループを複数作り、グループごとに暗号化鍵の設定が可能です。

<ClientGroup Name="INTERNAL">
  <Secret ClearText="xxxxx" DES=""></Secret>
  <Clients>
    <Client>10.0.0.0/8</Client>
    <Client>172.16.0.0/12</Client>
    <Client>192.168.0.0/16</Client>
  </Clients>
</ClientGroup>

TACACS.netを使ってみよう

以上の設定でTACACS+サーバーとして使えると思います。

TACACS.netの設定としては以上ですが、TACACS認証するためには、windowsセキュリティに穴あけをし、TACACS+の通信を許可する必要があります。

タイトルとURLをコピーしました