Authenticatie netwerk devices

Weinig use-cases voor Tacacs+ ? Dat is heel vreemd, het is wel een ding wat nagenoeg door een aantal grote vendoren word ondersteund en je het leven zooo veel makkelijker maakt.

Wij hebben een tacacs+ server cluster wat 'tac_plus' draait (zie ook http://www.pro-bono-publico.de/projects/). Deze linux machines staan in sync met elkaar en praten via de Mavis backend met het AD. Tevens hebben we een Radius implementatie op deze machines draaien die ook weer met het AD praat voor het geval een device geen tacacs ondersteund.

We hebben een install base van ca 800+ devices. Veel Cisco, Juniper maar ook wat restantjes Dell en HP. Ook A10 en F5 loadbalancers. Met name Cisco en Juniper praten via tacacs+. Ook is afgeschermd met rules in tacacs en radius dat bepaalde gebruikers groepen mogen authenticeren. Ook kan een bepaalde groep bijv. alleen 'kijken' (dus geen conf t of edit). Kortom; user niet in het AD? Dan kom je niet verder. Wel in het AD en in de geautoriseerde groep? Prima.

Voor Cisco en Juniper kan je AAA of de authenticatie zo instellen dat als beide tacacs+ servers niet bereikbaar zijn dat er een fallback account (local) word gebruikt. Deze kan je dus, uniek houden over al je switches (of eventueel per groep van devices of locatie een eigen local fallback account+password combinatie).

Als poor-mans solution kan je ook prima Microsoft NPS of Freeradius oid gebruiken.

Genoeg informatie over te vinden op internet, bijvoorbeeld http://blog.skufel.net/20...with-microsoft-npsradius/

[ Voor 50% gewijzigd door Ascension op 22-08-2018 15:47 ]

Voor een kleine omgeving is dat (of lokale user accounts) een prima oplossing. Bij een grote omgeving is de impact als het mis gaat ook groter. Dan is het fijn om een support contract op ISE te hebben, zodat je problemen / configuratie issues kan escaleren bij Cisco TAC. Daar hangen gewoon SLA's aan.

ISE voor endpoints kom ik regelmatig tegen. ISE met TACACS kom ik veel minder tegen. Vooral omdat het alleen in echt grotere bedrijven gebruikt wordt.

RonnieB82 schreef op woensdag 22 augustus 2018 @ 13:26:
Thanks!

Ik denk inderdaad ook dat het nog veel gebruikt word, maar als ik bijvoorbeeld zoek op tacacs+ server, dan kom ik niet bijzonder veel tegen. Cisco deed dat eerder met hun eigen service, maar dat is nu end of life, en word opgevolgd door Cisco ISE, maar dat is meer voor end-user authenticatie.

Liefst wil ik een tacacs server op windows draaien, ons bedrijf doet niets met linux.

Ah ja, dan beperkt het snel. Toch is een simpele linux server geen groot probleem lijkt mij. Anders inderdaad ISE. Maar licenties vind ik duur bij Cisco. Daarom hebben wij juist de opensource oplossing gekozen.

[edit]
wauw: http://itprice.com/cisco-gpl/ise
list price, dat wel hé maar toch

M'n idee als volgt: Windows AD - Radius server(?) - Tacacs server - netwerkdevices.

Nu nog even op zoek naar de juiste tacacs software.

Ik zou eerder zo denken:
Windows AD - Radius & tacacs server - netwerk devices

Of te wel, beide services (radius en tacacs) tegen je AD laten praten en je nw.devices of tegen tacacs en als ze het niet kunnen tegen radius.

Het zo in jouw voorstel van tacacs naar radius en dán pas het AD is onnodig in mijn optiek

[ Voor 3% gewijzigd door Barreljan op 23-08-2018 08:39 ]

Accounting is in mijn ogen meer een manier om bij te houden wie er van welke service hoelang gebruik heeft gemaakt. Zie ook: Wikipedia: Authentication, Authorization en Accounting

Als jij wilt dat je per admin, bij gaat houden wie er welk commando heeft uitgevoerd op een netwerk-device, dan is dat niet de juiste zoekterm.

edit: Blijkbaar is Accounting binnen TACACS+ weer iets anders verder uitgewerkt, en kan je daar inderdaad de gebruikte commando's bijhouden.

[ Voor 15% gewijzigd door Equator op 24-08-2018 10:53 ]

Beheer via terminals / consoles is erg interactive en TACACS is daar beter in dan RADIUS. Dit is een aardige vergelijking: https://www.networkworld....radius-versus-tacacs.html

Kijk wel goed naar redundancy. Als TACACS uitvalt, kan je met lokale accounts nog wel het één en ander fixen. Gebruik je RADIUS voor endpoint clients te authenticeren en de RADIUS server valt uit, dan kan je iedereen naar huis sturen. ISE servers worden vaak redundant neergezet. Bij echt grote netwerken worden de rollen opgedeelt in verschillende servers. (RADIUS, guest portal, device profiling, etc.)

Mja, maar radius laat zich afaik prima loadbalancen en bij de meeste radius clients die ik heb gezien kan je een primaire en een secundaire radius opgeven.

Je radius redundant opzetten inderdaad. In huis tuin en keuken spul kun je vaak 1 radius server instellen. Op Cisco's etc kun je er veel meer opgeven.

*knip* spam

[ Voor 97% gewijzigd door rens-br op 23-11-2024 20:02 ]