Cisco R1 sudah di setting untuk menggunakan Autentikasi ke Server Tacacs. Cisco R1 berfungsi sebagai NAS.
Diinginan skenario sbb:
- user1 hanya bisa login dari IP 192.168.122.62 (NAC = WebTerm)
- user2 bisa login ke Cisco R1 dari IP mana saja
NAS: Network Access Server, yaitu Device yang akan connnect ke Tacacs Server
NAC: Network Access Client, yaitu Device yang akan akses ke NAS (bisa Webterm, bisa Device lain)
Bagimana configurasi Tacacs nya?
Berikut caranya.
1. Pertama pastikan Cisco R1 sudah autentikasi ke Server Tacacs:
aaa new-model
!
!
aaa group server tacacs+ gns3group
server name tacacsgui
!
aaa authentication login default group gns3group local
aaa authentication enable default group gns3group
!
!
tacacs server tacacsgui
address ipv4 192.168.122.252
key cisco-key
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
transport input all
!
2. Setelah itu configure Tacacs Server sbb:
- Create Device Group
- Create Device R1, masukkan key "cisco-key" dan IP dari R1 192.168.122.48
- Create Access List "acl-test" (lihat gambar)
- Create User Group
- Create User, yaitu user1 dan user2
Terlihat bahwa dalam "acl-test" di definisikan bahwa access akan diberikan jika user Telnet dari IP 192.168.122.62 Webterm (NAC) ke R1 192.168.122.48 (NAS)
Saat create user1, masukkan Access List yang digunakan user1 yaitu "acl-test", seperti gambar berikut.
Secara low level yang terjadi sebagai berikut.
Dari console WebTerm coba telnet ke R1, lalu R1 memunculkan username dan password. Jika diisi username "user1" dan password "user1", selanjutnya data-data ini di kirim ke Tacacs Server, bahwa ada akses:
user1 dengan pasword user1 dari 192.168.122.62 Webterm (NAC) ke R1 192.168.122.48 (NAS)
Selanjutnya Tacac melihat, yang akses user1 dan password cocok, namun user1 ini ada ACL nya. Di cek ACL nya. Ternyata NAC dan NAS cocok dan rule nya "permit", maka Tacacs akan kirim message ke R1 PASS (artinya "ijinkan" user1 masuk).
Terlihat user1 bisa telnet ke R1 dari Console Webterm.
Bagaimana kalau user1 telnet dari Router sendiri. Artinya NAC nya berubah jadi 192.168.122.48.
Nah nanti Tacacs akan melihat:
user1 telnet dari NAC 192.168.122.48 ke NAS 192.168.122.48
Ini bertentangan dengan ACL acl-test
NAC = 192.168.122.62
NAS = 192.168.122.48
Karena NAC nya tidak cocok, maka Tacacs akan kirim informasi FAIL (jangan ijinkan akses ke user1).
Terliha jika telnet dilakukan dari router R1 sendiri maka jika login pakai user1 akan FAIL. Pesannya password incorrect, padahal sebenarnya Tacacs mereject karena user1 telnet dari IP NAC yang tidak cocok dengan NAC di Access List acl-test.
No comments:
Post a Comment