melanjutkan materi kita yang kemarin tentang tacacs+ server yang materi kemarin hanya tentang authentication doang kali ini saya akan menambah tacacs+ untuk authorization, jadi kita sudah bisa konfigurasi tacacs+ server untuk Authentication dan Authorization, tinggal Accounting yang lom dibahas disini
untuk konfig di linuxnya bisa ditambahkan dibaris paling bawah

user = tya {
login = cleartext 123456
member = noc
}

user = ningrum {
login = cleartext 123456
member = noc
}

group = noc {
cmd = quit {
permit .*
}
cmd = exit {
permit .*
}
cmd = disable {
permit .*
}
cmd = disconnect {
permit .*
}
cmd = ping {
permit .*
}
cmd = show {
permit ip
permit interface
deny .*
}
}

penjelasan konfig diatas adalah
disana terdapat 2 user yaitu tya dan ningrum, 2 user ini masuk kedalam group membernya noc yang hanya bisa memasukan perintah quit,exit,disable, disconnect, ping, untuk show hanya bisa semua show ip dan semua show interface. passwordnya 2 user itu 123456

dan untuk di NASnya

aaa authorization exec default group tacacs+ local if-authenticated
aaa authorization commands 0 default group tacacs+ none
aaa authorization commands 1 default group tacacs+ none
aaa authorization commands 15 default group tacacs+ none

penjelasan konfig diatas adalah untuk

aaa authorization exec default group tacacs+ local if-authenticated

jika kita sudah berhasil masuk dengan autentikasi dari tacacs+ atau dengan local user maka langsung dimasukkan kedalam exec mode

aaa authorization commands 0 default group tacacs+ none

memberikan otorisasi kepada yang memiliki level 0 meskipun tidak ada tacacs+ server

aaa authorization commands 1 default group tacacs+ none

memberikan otorisasi kepada yang memiliki level 1 meskipun tidak ada tacacs+ server

aaa authorization commands 15 default group tacacs+ none

memberikan otorisasi kepada yang memiliki level 15 meskipun tidak ada tacacs+ server

note : perintah default maksudnya itu berfungsi untuk line console dan semua line vty

konfigurasi lengkapnya untuk di linux adalah

key = fmcisco

default authentication = file /etc/passwd

accounting file = /var/log/tac_plus.acct

user = danuwi {
login = cleartext “123456”
enable = cleartext “enabledanuwi”
}

user = mwiyoto {
login = file /etc/passwd
enable = cleartext “enablemwiyoto”
}

user = tya {
login = cleartext 123456
member = noc
}

user = ningrum {
login = cleartext 123456
member = noc
}

group = noc {
cmd = quit {
permit .*
}
cmd = exit {
permit .*
}
cmd = disable {
permit .*
}
cmd = disconnect {
permit .*
}
cmd = ping {
permit .*
}
cmd = show {
permit ip
permit interface
deny .*
}
}

dan konfigurasi lengkap untuk di NAS nya adalah

tacacs-server host 192.168.10.2
tacacs-server key fmcisco

aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ local if-authenticated
aaa authorization commands 0 default group tacacs+ none
aaa authorization commands 1 default group tacacs+ none
aaa authorization commands 15 default group tacacs+ none

Salam,
Danuwi
sent with my constantine under Acer Aspire 4720Z

Leave a comment

Your email address will not be published. Required fields are marked *

one × 3 =