How to Setup

: RubyTech Authen with TACACS+ Server :

adcom

.co.th

10.100.100.3310.100.100.188

TACACS+ server

Diagram การเชือ่มตอ

adcom

.co.th

รายการอุปกรณที่ตองใช

1. PC 1 เครื่อง Windows Base สําหรับติดตั้งโปรแกรม

2. Software TACACS ( Download ไดที่นี่ http://tacacs.net/ )

3. Switch RubyTech ( ทดสอบดวยรุน FGS2924R )

4. Notebook หรือ PC สําหรับการ Managed Switch

adcom

.co.th

ตดิตั้ง tacacs+ service สําหรับ windows โดยสามารถเขาไปดาวนโหลดโปรแกรมไดจากเว็บไซต http://tacacs.net/

adcom

.co.th

ในระหวางขั้นตอนการติดตั้ง จะมีการสอบถาม secret key ที่ตองใชแลกเปลี่ยนระหวาง server และอุปกรณ ในที่นี้ไดใสเปน adcom(สามารถแกไขในภายหลังได)

adcom

.co.th

ไปยังเมนู All Program -> TACACS.net -> Configurationเพื่อตั้งคาพารามิเตอรที่จําเปน

adcom

.co.th

ทําการแกไขไฟล tacplus.xml เพื่อตั้งคาทั่วไป Port tcp ที่ 49 เปน default port ของ tacacs+ service ไมตองแกไขใหทําการแกไขหมายเลข ip address ของ host server เปน 10.100.100.33

adcom

.co.th

เพิ่ม user ชื่อ steve และ adcom ลงในกลุมผูใชงานตัวอยางในไฟล authentication.xml ตามรูป

adcom

.co.th

เปด commad prompt และไปยัง directory ที่ไดตดิตั้ง tacacs.net จากนั้นเรียกโปรแกรtacdes เพื่อที่จะทําการ hash คา text password ใหเปน encrypted password ดังตัวอยางที่ตองการใชพาสเวิรดเปน “password”

adcom

.co.th

นําคา encryped password ที่ไดไปใสยังพารามิเตอร DES ของ steve

adcom

.co.th

ทําซ้ําขั้นตอนการ hash กับ user “adcom”โดยในคราวนี้จะใชพาสเวิรดเปน“adcom”

adcom

.co.th

หลังจากเสร็จสิ้นการ hash แลวนํามา copy เขาไปแลวจะไดตามรูป นี้

adcom

.co.th

เปลี่ยนชื่อ File authorization.xml ใหเปน authorization_bak.xmlเพื่อให user นั้นสามารถใชงานไดหมดทุกคําสั่ง ตามรูป

adcom

.co.th

แกไขไฟล client.xml ตามตัวอยางดังนี้ ทําการสราง group ของ client ชื่อ ROUTER และตั้งคา ip address ใหตรงตามความตองการ

adcom

.co.th

เปนอันเสร็จขั้นตอนการตั้งคา tacacs+ serve เมื่อทาํการ RUN tacacs.netServer แลว ใหมั่นใจวาไดมีการเปด port 49 เพื่อรอการเชือ่มตอโดยใชคาํสั่ง Netstat –a หรือใชโปรแกรม Nmap

adcom

.co.th

การตั้งคากับ switch Rubytech 2924R

ในอุปกรณ switch ของ Rubytech จะสามารถตั้งคาการ authenticationไดสอง priority คอื Primary และ Secondary ยกตัวอยางเชนเราอาจจะตั้งคาใหการ Authentication สําหรับ web manage ใหทําผาน local user เปนระดับ Primary และสําหรับ tacacs+ เปน secondary ก็ได

ตวัสวติชจะเปดให authenticate ผาน primary กอน หาก failed ระบบจะใช secondary authentication หากมีการ failure ขึ้นมาอีก สวิตชจะกลับไปใช primary authentication อีก เปนอยางนี้ไปเรือ่ยๆ

adcom

.co.th

ใหทําการ telnet login ไปยังสวิตช

adcom

.co.th

ใชคําสั่งในการตั้งคา tacacs+ ดังตอไปนี้-ใชคําสั่ง tac-plus เพื่อจะทําการตั้งคาพารามิเตอร tacacs+-ใชคําสั่ง set host <หมายเลข server [1-2] > < ip address ของ server>-ใชคําสั่ง set key <secrest key ที่มีคาตรงกันกับ server>-ใชคําสั่ง set web-authentication <primary authen [0-2]> <secondary authen [0-2]>พารามิเตอรของ primary authen และ secondary authen ทีม่คีาไดตั้งแต 0-2 มีความหมายดงันี้

0 = local authentication1 = tacacs+ authentication2 = none

adcom

.co.th

หากระบบเปดการใชงาน login โดยใช tacacs+ จะปรากฏคาํวา [TACACS+] Login: เพื่อรอรับ input ลองทดสอบการ log in ผาน telnet โดยใช user: “steve” pass: “password”

adcom

.co.th

ทดสอบการ log in ผาน web manageโดยใช user: “adcom” pass: “adcom”

adcom

.co.th

Tac-plus show authentication

System Log

adcom

.co.th

เสร็จสิ้นกระบวนการแลวครับ ถึงตอนนี้ Switch RubyTechกส็ามารถเชือ่มตอกบั TACACS ของระบบไดแลวครับ

ติดปญหาในขึ้นตอนใดๆ โทรสอบถามกับฝายบริการไดตลอดเวลาครับ

บริษัท แอ็ดวานซ คอมม จํากัด 0-2530-6100หรือ http://facebok.com/adcom.co.th