TACACS+ 서버 구성
CentOS 운영 체제를 사용하는 서버에 CTPview를 설치하면 TACACS+ 인증 사용자가 SSH 및 HTTPS를 통해 로그인할 수 있습니다.
사용자는 다음 순서로 인증됩니다.
TACACS+ 서버 사용
로컬 사용자 계정 기준
TACACS+ 서버 및 로컬 CTPView 시스템에 동일한 사용자를 추가할 수 있습니다.
TACACS+ 서버의 구성 파일 구성
TACACs+ RFC "The TACACs+ Protocol"(1997년 1월)을 준수하는 모든 TACACS+ 서버를 사용할 수 있습니다. 여기에서 참조하는 TACACs+ 서버(v1.2)는 TACACs.net 웹 사이트(http://tacacs.net/download.asp)에서 다운로드할 수 있습니다. 이 버전에는 4개의 구성 파일이 포함되어 있습니다. 구성 파일을 수정하려면 TACACs+ 서버에 관리자로 로그인해야 합니다.
Authentication.xml - 이 파일을 수정하여 TACACS+ 서버에 새 사용자를 추가합니다. 새 사용자를 추가하려면 새 사용자 그룹과 <UserGroups> 태그 아래에 사용자를 추가해야 합니다.
<UserGroups> <UserGroup> <Name>TACACS_User1</Name> <AuthenticationType>File</AuthenticationType> <Users> <User> <Name> TACACS_User1</Name> <LoginPassword ClearText="PASSWORD" DES=""> </LoginPassword> <EnablePassword ClearText="" DES=""></EnablePassword> <CHAPPassword ClearText="" DES=""> </CHAPPassword> <OutboundPassword ClearText="" DES=""> </OutboundPassword> </User> </Users> </UserGroup> </UserGroups>
Authorization.xml - 이 파일을 수정하여 사용자에 대한 권한 부여 수준을 정의합니다. 권한 부여 수준을 정의하려면 Authentication.xml 파일에 추가된 사용자 그룹을 이 파일의 <Authorization> 태그 아래에 추가해야 합니다.
<Authorization> <UserGroups> <UserGroup>TACACS_User1</UserGroup> </UserGroups> <Services> <Service> <Set>service=juniper_ctp_srvc</Set> <Set>protocol=unknown</Set> <Set>juniper_ctpview_https=1</Set> </Service> </Services> </Authorization>
CTP 디바이스는 서비스를 사용하여 juniper_ctp_srvc TACACS+에 액세스합니다. 이 서비스는 TACACS+에 액세스하는 데만 사용되며 Authorization.xml 파일에서 변경할 수 없습니다.
권한 부여 수준을 정의하기 위해 다음 그룹 중 일부 또는 모두에 사용자를 할당할 수 있습니다.
CTP 디바이스 CLI–SSH
CTPView CLI–SSH
CTPView 웹–HTTPS
각 사용자에 대한 권한 부여 수준은 <Service> 태그 아래의 <Set> 태그에 지정되어 있습니다.
CTPView에 대한 HTTPS 액세스를 위해 표 1 에 표시된 속성과 값을 사용합니다.
표 1: HTTPS 액세스의 속성 및 값 특성
값
Global_Admin
juniper_ctpview_https=1
Net_Admin
juniper_ctpview_https=2
Net_View
juniper_ctpview_https=3
Net_Diag
juniper_ctpview_https=4
CTPView에 대한 SSH 액세스를 위해 표 2 에 표시된 속성과 값을 사용합니다.
표 2: CTPView에 대한 SSH 액세스를 위한 속성 및 값 특성
값
웹매니저
juniper_ctpview_cli=1
시스템 관리자
juniper_ctpview_cli=2
감사
juniper_ctpview_cli=3
CTP 디바이스에 대한 SSH 액세스를 위해 표 3 에 표시된 속성과 값을 사용합니다.
표 3: CTP 디바이스에 대한 SSH 액세스를 위한 속성 및 값 특성
값
Read_Only
juniper_ctp_cli=1
관리자
juniper_ctp_cli=2
Privileged_admin
juniper_ctp_cli=3
감사
juniper_ctp_cli=4
TACAS+ 서버에서 다음 파일을 수정할 수도 있습니다.
Clients.xml - 이 파일을 수정하여 TACACS+ 서버를 사용할 수 있는 비밀 키와 도메인을 추가합니다.
Tacplus.xml - 원격 포트 번호와 TACACS+ 서버에 할당된 IPV4 또는 IPv6 주소를 추가하려면 이 파일을 수정합니다.
<Port>49</Port> <LocalIP>Write your TACACS+ machine’s IP here</LocalIP>
필요한 경우 표 4 에 지정된 매개 변수를 수정합니다.
표 4: Tacplus.xml 파일 구성을 위한 속성 매개 변수
함수
포트
기본 포트 번호는 49입니다.
로컬IP
TACACS+ 서버의 IP 주소를 지정합니다. IPV4 또는 IPV6 주소를 입력할 수 있습니다.
IPv6 주소를 입력하기 전에 TACACS+ 서버와 CTPView 서버 또는 CTP 디바이스가 모두 IPV6을 지원하는지 확인합니다.