Inhaltsverzeichnis
Werbung
Addendum zur LCOS- Version 7.7
TACACS+
A.10 TACACS+
A.10.1 Einleitung
TACACS+ (Terminal Access Control Access Control Server) ist ein Protokoll für Authentifizierung, Authorisierung und
Accounting (AAA), es stellt also den Zugang zu Netzwerkkomponenten nur für bestimmte Nutzer sicher, regelt die
Berechtigungen der Benutzer und überträgt Daten für die Protokollierung der Netzwerknutzung. TACACS+ ist also
eine Alternative zu anderen AAA-Protokollen wie RADIUS.
Der Einsatz von TACACS+ ist eine Voraussetzung für die Einhaltung der PCI-Compliance (Payment Card
Industry).
Die Regelung der Zugriffsmöglichkeiten für die Anwender stellt in modernen Netzwerken mit zahlreichen Diensten
und Netzwerkkomponenten eine große Herausforderung dar. Gerade in größeren Szenarien ist es kaum noch mög-
lich, die Zugangsdaten der Benutzer auf jedem Gerät bzw. in jedem Dienst einzutragen und auf Dauer konsistent zu
halten. Aus diesem Grund bietet sich die zentrale Bereitstellung der Benutzerdaten auf einem entsprechenden Server
an.
In einem einfachen Anwendungsbeispiel möchte sich ein Anwender auf einem Router anmelden und übermittelt
dazu seine Zugangsdaten (User-ID) an den Router. Der Router fungiert in diesem Fall als Network Access Server
(NAS): er überprüft die Zugangsdaten nicht selbst, sondern leitet diese an den zentralen AAA-Server weiter, der die
Daten nach der Prüfung mit einen positiven Bestätigung (Accept) oder einer Ablehnung (Reject) beantwortet.
PC
Zu den erweiterten Funktionen von TACACS+ gehört u.a. die Möglichkeit, den Benutzer zum Wechseln des Kenn-
worts aufzufordern (z.B. beim ersten Login oder nach Ablauf einer bestimmten Frist). Die entsprechenden Meldun-
gen werden vom NAS an den Benutzer weitergereicht.
Bitte beachten Sie, dass LANconfig nicht alle Meldungen des erweiterten Login-Dialogs auswerten kann.
Falls LANconfig die Anmeldung an einem LANCOM trotz korrekter Eingabe der Benutzerdaten ablehnt, mel-
den Sie sich bitte über einen alternativen Konfigurationsweg an (WEBconfig oder Telnet).
Neben den weit verbreiteten RADIUS-Servern bietet sich als AAA-Server auch TACACS+ an. Die Tabelle zeigt einige
wesentliche Unterschiede zwischen RADIUS und TACACS+:
TACACS+
Verbindungsorientierte Datenübertragung über TCP
Gesamte Datenübertragung wird verschlüsselt
Vollständige Trennung von Authentifizierung, Authorisierung und
Accounting möglich
Die Übertragung über TCP macht TACACS+ zuverlässiger als RADIUS, da die Kommunikation zwischen NAS und
AAA-Server bestätigt wird und der NAS somit informiert wird, wenn der AAA-Server nicht erreichbar ist.
TACACS+ verschlüsselt neben dem Kennwort die gesamten Nutzdaten (bis auf den TACACS+-Header). Dadurch
können auch Informationen wie der Benutzername oder die erlaubten Dienste nicht abgehört werden. TACACS+
benutzt zur Verschlüsselung ein One-Time-Pad, welches auf MD5-Hashes basiert.
Die Trennung der drei AAA-Funktionen erlaubt unter TACACS+ schließlich die Nutzung anderer Server. Während
bei RADIUS Authentifizierung und Authorisierung immer zusammen gehören, kann TACACS+ Authentifizierung
und Authorisierung getrennt verwenden. So kann z.B. der TACACS+-Server nur für die Authentifizierung einge-
setzt werden, dabei müssen auch nur die Benutzer, nicht aber die erlaubten Kommandos gepflegt werden.
Bitte beachten Sie: Auch wenn TACACS+ gezielt dazu genutzt wird, die Benutzerkonten nicht auf den ein-
zelnen Geräten, sondern zentral auf einem AAA-Server abzulegen, sollten Sie auf jeden Fall für die LANCOM-
Geräte ein sicheres Kennwort für den Root-Zugang definieren. Wenn kein Root-Kennwort gesetzt ist, kann
der Konfigurationszugang zu den Geräten aus Sicherheitsgründen gesperrt werden, wenn die Verbindung zu
den TACACS+-Servern nicht verfügbar ist! In diesem Fall muss das Gerät möglicherweise in den Ausliefe-
rungszustand zurückgesetzt werden, um wieder Zugang zur Konfiguration zu erhalten.
20
User ID
Accept
NAS
User ID
Accept
AAA-SERVER
RADIUS
Verbindungslose Datenübertragung über UDP
Nur Kennwort wird verschlüsselt, Inhalte bleiben unverschlüsselt
Authentifizierung, Authorisierung sind kombiniert
Werbung
Inhaltsverzeichnis
