Weitere Dienste / TACACS+
Übergeordnetes Thema: TACACS+

Konfiguration der TACACS+-Parameter

Die Parameter für die Konfiguration von TACACS+ finden Sie :

Kommandozeile: Setup > TACACS+

Accounting
Aktiviert das Accounting über einen TACACS+-Server. Wenn das TACACS+-Accounting aktiviert ist, werden alle Accounting-Daten über das TACACS+-Protokoll an den konfigurierten TACACS+-Server übertragen. Mögliche Werte:
  • aktiviert, deaktiviert
Default
  • deaktiviert
Wichtig: Das TACACS+-Accounting wird nur dann aktiviert, wenn ein erreichbarer TACACS+-Server definiert ist.
Authentifizierung
Mit der Einführung der Authentifizierung über RADIUS ist dieser Menüpunkt entfallen. Die Authentifizierung über TACACS+ wird nun unter Setup > Config > Authentifizierung aktiviert. Wenn die TACACS+-Authentifizierung aktiviert ist, werden alle Authentifizierung-Anfragen über das TACACS+-Protokoll an den konfigurierten TACACS+-Server übertragen.
Wichtig: Die TACACS+-Authentifizierung wird nur dann aktiviert, wenn ein erreichbarer TACACS+-Server definiert ist. Der Rückgriff auf lokale Benutzer kann dabei nur genutzt werden, wenn für das Gerät ein Root-Kennwort gesetzt ist. Bei Geräten ohne Root-Kennwort muss der Rückgriff auf lokale Benutzer deaktiviert werden, da sonst bei Ausfall der Netzwerkverbindung (TACACS+-Server nicht erreichbar) ein Zugriff ohne Kennwort auf das Gerät möglich wäre.
Autorisierung
Aktiviert die Autorisierung über einen TACACS+-Server. Wenn die TACACS+-Autorisierung aktiviert ist, werden alle Autorisierungs-Anfragen über das TACACS+-Protokoll an den konfigurierten TACACS+-Server übertragen. Mögliche Werte:
  • aktiviert, deaktiviert
Default
  • deaktiviert
Wichtig: Die TACACS+-Autorisierung wird nur dann aktiviert, wenn ein erreichbarer TACACS+-Server definiert ist. Wenn die TACACS+-Autorisierung aktiviert ist, wird für jedes Kommando beim TACACS+-Server eine Anfrage gestellt, ob der Benutzer diese Aktion ausführen darf. Dementsprechend erhöht sich der Datenverkehr bei der Konfiguration, außerdem müssen die Rechte für die Benutzer im TACACS+-Server definiert sein.
Rückgriff_auf_lokale_Benutzer
Für den Fall, dass die definierten TACACS+-Server nicht erreichbar sind, kann ein Rückgriff auf die lokalen Benutzerkonten im Gerät erlaubt werden. So ist der Zugriff auf die Geräte auch bei Ausfall der TACACS+-Verbindung möglich, z. B. um die TACACS+-Nutzung zu deaktivieren oder die Konfiguration zu korrigieren. Mögliche Werte:
  • erlaubt, verboten
Default
  • erlaubt
Wichtig: Der Rückgriff auf lokale Benutzerkonten stellt ein Sicherheitsrisiko dar, wenn kein Root-Kennwort im Gerät gesetzt ist. Daher kann die TACACS+-Authentifizierung mit Rückgriff auf lokale Benutzerkonten nur aktiviert werden, wenn ein Root-Kennwort definiert ist. Wenn kein Root-Kennwort gesetzt ist, kann der Konfigurationszugang zu den Geräten aus Sicherheitsgründen gesperrt werden, wenn die Verbindung zu den TACACS+-Servern nicht verfügbar ist! In diesem Fall muss das Gerät möglicherweise in den Auslieferungszustand zurückgesetzt werden, um wieder Zugang zur Konfiguration zu erhalten.
Shared-Secret
Das Kennwort für die Verschlüsselung der Kommunikation zwischen NAS und TACACS+-Server. Mögliche Werte:
  • 31 alphanumerische Zeichen
Default
  • Leer
Wichtig: Das Kennwort muss im Gerät und im TACACS+-Server übereinstimmend eingetragen werden. Eine Nutzung von TACACS+ ohne Verschlüsselung ist nicht zu empfehlen.
SNMP-GET-Anfragen-Accounting
Zahlreiche Netzwerkmanagementtools nutzen SNMP, um Informationen aus den Netzwerkgeräten abzufragen. Auch der LANmonitor greift über SNMP auf die Geräte zu, um Informationen über aktuelle Verbindungen etc. darzustellen oder Aktionen wie das Trennen einer Verbindung auszuführen. Da über SNMP ein Gerät auch konfiguriert werden kann, wertet TACACS+ diese Zugriffe als Vorgänge, die eine Autorisierung voraussetzen. Da LANmonitor diese Werte regelmäßig abfragt, würde so eine große Zahl von eigentlich unnötigen TACACS+-Verbindungen aufgebaut. Wenn Authentifizierung, Autorisierung und Accounting für TACACS+ aktiviert sind, werden für jede Anfrage drei Sitzungen auf dem TACACS+-Server gestartet. Mit diesem Parameter kann das Verhalten der Geräte bei SNMP-Zugriffen geregelt werden, um TACACS+-Sitzungen für das Accounting zu reduzieren. Eine Authentifizierung über den TACACS+-Server bleibt dennoch erforderlich, sofern die Authentifizierung für TACACS+ generell aktiviert ist.
Anmerkung: Mit dem Eintrag einer Read-Only-Community unter Setup > SNMP kann auch die Authentifizierung über TACACS+ für den LANmonitor deaktiviert werden. Die dort definierte Read-Only-Community wird dazu im LANmonitor als Benutzername eingetragen.
Mögliche Werte:
  • nur_für_SETUP_Baum: In dieser Einstellung ist nur bei SNMP-Zugriff auf den Setup-Zweig von LCOS ein Accounting über den TACACS+-Server erforderlich.
  • alle: In dieser Einstellung wird für alle SNMP-Zugriffe ein Accounting über den TACACS+-Server durchgeführt. Werden z. B. Status-Informationen regelmäßig abgefragt, erhöht diese Einstellung deutlich die Last auf dem TACACS+-Server.
  • keine: In dieser Einstellung ist für die SNMP-Zugriffe kein Accounting über den TACACS+-Server erforderlich.
Default:
  • nur_für_SETUP_Baum
SNMP-GET-Anfragen-Autorisierung
Mit diesem Parameter kann das Verhalten der Geräte bei SNMP-Zugriffen geregelt werden, um TACACS+-Sitzungen für die Autorisierung zu reduzieren. Eine Authentifizierung über den TACACS+-Server bleibt dennoch erforderlich, sofern die Authentifizierung für TACACS+ generell aktiviert ist. Mögliche Werte:
  • nur_für_SETUP_Baum: In dieser Einstellung ist nur bei SNMP-Zugriff auf den Setup-Zweig von LCOS eine Autorisierung über den TACACS+-Server erforderlich.
  • alle: In dieser Einstellung wird für alle SNMP-Zugriffe eine Autorisierung über den TACACS+-Server durchgeführt. Werden z. B. Status-Informationen regelmäßig abgefragt, erhöht diese Einstellung deutlich die Last auf dem TACACS+-Server.
  • keine: In dieser Einstellung ist für die SNMP-Zugriffe keine Autorisierung über den TACACS+-Server erforderlich.
Default:
  • nur_für_SETUP_Baum
Verschlüsselung
Aktiviert oder deaktiviert die Verschlüsselung der Kommunikation zwischen NAS und TACACS+-Server. Mögliche Werte:
  • aktiviert, deaktiviert
Default
  • aktiviert
Wichtig: Eine Nutzung von TACACS+ ohne Verschlüsselung ist nicht zu empfehlen. Wenn die Verschlüsselung hier aktiviert wird, muss außerdem das Kennwort für die Verschlüsselung passend zum Kennwort auf dem TACACS+-Server eingetragen werden.
Übergeordnetes Thema: TACACS+

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo