ในบทความก่อนหน้านี้ เราได้พูดถึงการตั้งค่า TACACS+ บน Cisco ISE ร่วมกับ Cisco APIC ไปแล้ว
โดยได้อธิบายว่า TACACS+ คืออะไร พร้อมทั้งวิธีการตั้งค่าทั้งฝั่ง Cisco ISE และ Cisco APIC แบบครบถ้วน
ใครที่ยังไม่ได้อ่าน สามารถติดตามได้ที่ลิงก์นี้เลยครับ TACACS+ with Cisco ISE & APIC
สำหรับในบทความนี้ เราจะมาต่อกันใน EP.2 ซึ่งยังคงเป็นการตั้งค่า TACACS+ บน Cisco ISE เหมือนเดิม แต่ฝั่งอุปกรณ์ (Device) เราจะเปลี่ยนมาลองตั้งค่าบน Cisco Switch (IOS-XE) กันครับผม
โดยโจทย์จะยังคงใช้โจทย์เดิมครับ สร้างเป็น 2 users
1. Admin Role สามารถ show คอนฟิกต่างๆ และ สามารถแก้ไข คอนฟิก ได้
2. Helpdesk Role สามารถ show คอนฟิกต่างๆได้อย่างเดียว ไม่สามารถแก้ไข คอนฟิกได้
โดย Step จะมีดังนี้
1.) Configure บน Cisco ISE
2.) Configure บน Switch (IOS-XE)
3.) เทสผลลัพธ์การทำงาน
1.) Configure บน Cisco ISE
1.1) เปิดใช้งาน Device Admin Service
เลือก Administration –> Deployment –> Enable Device Admin Service –> Save
1.2) Add Router/Switch เข้ามาบน Cisco ISE
1.2.1) เลือก Administration –> Network Devices –> Add
1.2.2) ตั้งชื่อ Devices –> ใส่ IP ของอุปกรณ์ –> ตั้งค่า Location, IPSEC, Device Type (จะเลือกเป็น Default เลยก็ได้นะครับ ตรงส่วนนี้จะใช้ในการทำ Policy Authorization ครับ) –> ตั้งค่า Share Secret –> Submit
1.3) สร้าง Group ของ User + สร้าง User บน Cisco ISE
เราจะสร้างเป็น 2 Group ตามโจทย์ของเรา คือ admin และ helpdesk โดย Group ของ admin = ADMIN_GROUP, helpdesk = HELPDESK_GROUP
1.3.1) ไปที่ Work Centers –> User Identity Groups –> Add –> สร้างเป็น 2 Group ตามโจทย์
1.3.2) ไปที่แถบ Identities เพื่อสร้าง User ในแต่ละ Group –> Add –> ใส่ข้อมูลต่างๆ เลือก Group ให้ถูกต้อง –> Save
1.4) สร้าง TACACS Profiles + TACACS Command Sets ให้กับ admin / helpdesk Groups
1.4.1) ไปที่ Work Centers –> Policy Elements –> Results –> TACACS Profiles –> Add
1.4.2) ทำการตั้งชื่อ Profile และตั้งค่า command Tasks ต่างๆ ตามในรูปได้เลยครับ (เป็นแค่การตั้งค่าพื้นฐานนะครับ หากเพื่อนๆต้องการทำ ACL เพิ่ม ก็สามารถสร้างได้ครับ)
1.4.3) สร้าง Permit Command ของแต่ละ User Group ที่สามารถใช้ได้ โดยไปที่ Work Centers –> Policy Elements –> Results –> TACACS Command Sets –> Add
1.4.4) Command Set ของ Admin Group สามารถใช้งานได้ทุกคำสั่ง
1.4.5) Command Set ของ Helpdesk สามารถใช้งานได้โดยจำกัดแค่ show command อย่างเดียว ซึ่งจะเห็นว่า ไม่มีคำสั่ง enable หรือ config terminal ที่ใส่ไปใน list
1.5) สร้าง Device Admin Policy Set
1.5.1) ไปที่ Work Centers –> Device Admin Policy Sets
1.5.2) เลือกไปที่ Default Policy ได้เลยครับ
1.5.3) เราจะ Focus ที่การตั้งค่า Authorization Policy นะครับ เนื่องจาก Authentication เราได้ใช้ User จาก Local อยู่แล้ว ซึ่งไม่ต้อง คอนฟิก อะไรเพิ่มเติมครับ
สร้าง Authorization Policy 2 Policies โดยมี Condition ดังนี้
Helpdesk –> IdentityGroup = APIC_RO –> Command Sets –> Permit_Basic_Command | Shell Profiles TAC_PROF_PRIV15
Admin –> IdentityGroup = APIC_RW –> Command Sets –> Permit_All_Command | Shell Profiles TAC_PROF_PRIV15
2.) Configure บน Switch (IOS-XE)
Config Template จะมีประมาณนี้นะครับ เพื่อนๆสามารถนำไปปรับใช้ได้ตามต้องการได้เลยครับ
aaa new-model ! tacacs server ISE01 address ipv4 10.10.10.100 key P@ssw0rd ! tacacs server ISE02 address ipv4 10.10.10.100 key P@ssw0rd ! aaa group server tacacs+ ISE-GROUP server name ISE01 server name ISE02 ! aaa authentication login TACACS-ISE local group ISE-GROUP aaa authentication login local-auth local ! aaa authorization console ! aaa authorization config-commands ! aaa authorization exec TACACS-ISE local group ISE-GROUP if-authenticated aaa authorization commands 15 TACACS-ISE local group ISE-GROUP if-authenticated ! aaa authorization exec local-auth local if-authenticated aaa authorization commands 15 local-auth local ! aaa accounting exec default start-stop group TACACS-ISE aaa accounting commands 15 default start-stop group TACACS-ISE ! line con 0 login authentication local-auth ! line vty 0 4 authorization commands 15 TACACS-ISE authorization exec TACACS-ISE login authentication TACACS-ISE transport input ssh ! ip tacacs source-interface vlan 200
3.) เทสผลลัพธ์การทำงาน
3.1) ทำการ Login เข้า Switch ด้วย username/password ที่ได้ตั้งค่าไว้ โดยใช้สิทธิ Admin และ Helpdesk ซึ่งจะเห็นว่า มี Log เข้ามาบน Cisco ISE ว่า Login ผ่านแล้ว
3.2) เช็คสิทธิ์ของ helpdesk user ว่าไม่สามารถ คอนฟิก ได้ จริงไหม โดยเข้า config terminal วึ่งจะเห็นว่า ไม่สามารถเข้า config terminal ได้
Ref : https://www.wiresandwi.fi/blog/cisco-ise-configuring-tacacs-authentication-for-device-administration
https://www.lookingpoint.com/blog/cisco-ise-3.0-tacacs-configuration
#TACACS+ #Cisco_ISE #AAA #IOS-XE
