آشنایی با RADIUS و TACACS+ و راه اندازی اولیه روی تجهیزات سیسکو
[FONT=Tahoma]می خواستم تو شبکه سرور [/FONT][FONT=Tahoma]Auth[/FONT][FONT=Tahoma] برای سوییچ ها و یه سری داستانهای دیگه راه بندازم. به خاطر همین یه چند خطی در مورد [/FONT][FONT=Tahoma]TACACS+[/FONT][FONT=Tahoma] و [/FONT][FONT=Tahoma]RADIUS[/FONT][FONT=Tahoma] خوندم. گفتم اینجا هم بذارم. شاید به درد برخی دوستان که مثل من تازه کارند بخوره :[/FONT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma]از این دو پروتکل برای [/FONT][FONT=Tahoma]AAA[/FONT][FONT=Tahoma] یا همون [/FONT][FONT=Tahoma]Authentication, Accounting[/FONT][FONT=Tahoma] و [/FONT][FONT=Tahoma]Authorization[/FONT][FONT=Tahoma] استفاده میشه.[/FONT]
[FONT=Tahoma]یعنی اینکه کی میتونه وارد بشه [/FONT][FONT=Tahoma]Authentication[/FONT][FONT=Tahoma][/FONT]
[FONT=Tahoma]به کجاها دسترسی داره [/FONT][FONT=Tahoma]Authorization[/FONT][FONT=Tahoma] [/FONT]
[FONT=Tahoma]چقدر اعتبار داره (پولی ، ساعت استفاده ، استفاده از هر کدوم از منابع به چه میزان و . ) [/FONT][FONT=Tahoma]Accounting[/FONT][FONT=Tahoma][/FONT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma]اما تفاوت های اینها :[/FONT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma]TACACS+[/FONT][FONT=Tahoma] پروتکل اختصاصی شرکت سیسکو هستش [/FONT][FONT=Tahoma][/FONT]
[FONT=Tahoma]RADIUS[/FONT][FONT=Tahoma] عمومی هستش و مال [/FONT][FONT=Tahoma]IETF[/FONT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma]TACACS+[/FONT][FONT=Tahoma] کل بسته را کد گذاری می کند[/FONT][FONT=Tahoma][/FONT]
[FONT=Tahoma]RADIUS[/FONT][FONT=Tahoma] فقط بسته های های اولیه حامل رمز را کد گذاری می کند[/FONT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma]TACACS+[/FONT][FONT=Tahoma] سه فرآیند بالا را کاملا جداگانه در نظر می گیرد و با آنها برخورد متفاوت و مستقل از دیگری دارد[/FONT]
[FONT=Tahoma]RADIUS[/FONT][FONT=Tahoma] در واقع [/FONT][FONT=Tahoma]Authentication, [/FONT][FONT=Tahoma]و [/FONT][FONT=Tahoma]Authorization[/FONT][FONT=Tahoma] را ترکیب می کند و اجرای یکی از آنها بدون دیگری عملا با مشکلاتی روبرو میشود[/FONT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma]TACACS+[/FONT][FONT=Tahoma] از پروتکل های مختلفی چون [/FONT][FONT=Tahoma]NOVEL NASI[/FONT][FONT=Tahoma]، [/FONT][FONT=Tahoma]Netbios Frame Control Protocols[/FONT][FONT=Tahoma]، [/FONT][FONT=Tahoma]X.25[/FONT][FONT=Tahoma]، [/FONT][FONT=Tahoma]AppleTALK[/FONT][FONT=Tahoma] و ... پشتیبانی می کند[/FONT]
[FONT=Tahoma]RADIUS[/FONT][FONT=Tahoma] هیچ کدام را ساپورت نمیکند[/FONT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma]TACACS+[/FONT][FONT=Tahoma] می تواند میزان دسترسی یوزر و حتی فرامینی را که وی می تواند روی روتر اجرا کند تعیین نماید[/FONT]
[FONT=Tahoma]RADIUS[/FONT][FONT=Tahoma] نمی تواند این کار را انجام دهد[/FONT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma]TACACS+[/FONT][FONT=Tahoma] از [/FONT][FONT=Tahoma]TCP 49[/FONT][FONT=Tahoma] استفاده می کند[/FONT]
[FONT=Tahoma]RADIUS[/FONT][FONT=Tahoma] قبلا از [/FONT][FONT=Tahoma]UDP 1645 , 1646 [/FONT][FONT=Tahoma] استفاده میکرد و نسخه های جدید آن پیش فرض از [/FONT][FONT=Tahoma]UDP 1812 , 1813[/FONT][FONT=Tahoma] استفاده می کنند[/FONT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma]برای راه اندازی سرور روی روتر یا سوییچ مراحل بسیار ساده ای لازم است.[/FONT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma]اول با این دستور به طور کلی استفاده از [/FONT][FONT=Tahoma]AAA[/FONT][FONT=Tahoma] را فعال می کنیم.[/FONT]
[FONT=Tahoma] [/FONT]
[LEFT][FONT=Tahoma]R(config)# aaa new-model[/FONT]
[FONT=Tahoma] [/FONT][/LEFT]
[FONT=Tahoma]حال با این دستور سرورهای [/FONT][FONT=Tahoma]TACACS[/FONT][FONT=Tahoma] یا [/FONT][FONT=Tahoma]RADIUS[/FONT][FONT=Tahoma] را معرفی می کنیم[/FONT]
[FONT=Tahoma] [/FONT]
[LEFT][FONT=Tahoma]R(config)# tacacs-server host 172.16.10.10 key mhdganji[/FONT]
[FONT=Tahoma]R(config)# radius-server host 172.16.10.10 key mhdganji[/FONT]
[FONT=Tahoma] [/FONT][/LEFT]
[FONT=Tahoma]حال میخواهیم بگوییم برای مثلا [/FONT][FONT=Tahoma]Auth[/FONT][FONT=Tahoma] از کدام سرور استفاده شود[/FONT]
[LEFT][FONT=Tahoma]R(config)# aaa authentication login default group radius[/FONT][/LEFT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma]حالا میخواهیم بگوییم اول [/FONT][FONT=Tahoma]TACACS[/FONT][FONT=Tahoma] اگر نشد [/FONT][FONT=Tahoma]RADIUS[/FONT][FONT=Tahoma] و اگر نشد از پسوردهای لوکال ذخیره شده[/FONT]
[LEFT][FONT=Tahoma]R(config)# aaa authentication login default group tacacs group radius local[/FONT][/LEFT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma]حالا می خواهیم بگوییم اگر هیچ کدام نشد اصلا نمیخواد رمز بپرسی. طرف رو بدون تصدیق اعتبار بفرست تو (که مشخصه ریسک امنیتی هستش)[/FONT]
[FONT=Tahoma] [/FONT]
[LEFT][FONT=Tahoma]R(config)# aaa authentication login default group tacacs group radius none[/FONT][/LEFT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma]امیدوارم به درد دوستان بخوره[/FONT]
[FONT=Tahoma]موفق باشید[/FONT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma] [/FONT]
[FONT=Tahoma][/FONT] [FONT=Tahoma]راستی[/FONT]
[FONT=Tahoma]TACACS+[/FONT][FONT=Tahoma] گونه جدیدتر [/FONT][FONT=Tahoma]TACACS[/FONT][FONT=Tahoma] و [/FONT][FONT=Tahoma]XTACACS[/FONT][FONT=Tahoma] هستش که البته با قبلی ها سازگاری نداره[/FONT]