tacacs+ kependekan dari Terminal Access Controller Access-Control System Plus
tacacs+ merupakan protokol buatan cisco yang berguna untuk memberikan akses kontrol yang terpusat untuk semua perangkat jaringan yang mendukung AAA server
tacacs+ menyediakan layanan Authentication, Authorization dan Accounting

saya menfkonfigure tacacs+ ini di GNU/Linux Fedora 12
untuk menginstall tacacs+ di constantine kita perlu melakukan install beberapa dependensi terlebih dahulu, diantaranya adalah ketik

#yum install gcc
#yum install flex
#yum install bison
#yum install tcp_wrappers
#yum install tcp_wrappers-devel

download tacacs+ disitus ini
ftp://ftp.shrubbery.net/pub/tac_plus/

salin hasil file yang uda didonlot ke direktori /usr/src dan masuk ke direktori tersebut

# cp tacacs+-F4.0.4.19.tar.gz /usr/src
# cd /usr/src

extract filenya dan masuk ke direktori hasil extractnya

# tar xvfz tacacs+-F4.0.4.19.tar.gz
# cd tacacs+-F4.0.4.19

kompile program tacacs+, yakinkan tidak ada error, lalu install

# ./configure
# make install

jika sudah diinstall buat file baru di /etc/tac_plus.conf berikut konfig tacacs+ untuk Authentication

#vim /etc/tac_plus.conf

lalu isikan semua perintah dibawah ini

key = fmcisco

default authentication = file /etc/passwd

accounting file = /var/log/tac_plus.acct

user = danuwi {
login = cleartext “123456”
enable = cleartext “enabledanuwi”
}

user = mwiyoto {
login = file /etc/passwd
enable = cleartext “enablemwiyoto”
}

dari contoh diatas maksudnya

key = fmcisco

itu berarti key kita harus sama ama diperangkat NAS

default authentication = file /etc/passwd

jika tidak ada username di list user maka akan di ambil di databse usernya linux

user = danuwi {
login = cleartext “123456”
enable = cleartext “enabledanuwi”
}

membuat username danuwi dengan password untuk login 123456 dan password untuk masuk ke privileged mode memakai enabledanuwi

user = mwiyoto {
login = file /etc/passwd
enable = cleartext “enablemwiyoto”
}

membuat username mwiyoto dengan password untuk login diambil dari databse linux dan password privileged mode enablemwiyoto, jika mau mengambil password privileged mode lewat database linux bisa juga dengan perintah

enable = file /etc/passwd

dan untuk konfigurasi di NAS nya :

tacacs-server host 192.168.10.2
tacacs-server key fmcisco

aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable

penjelasan dari konfig diatas adalah

tacacs-server host 192.168.10.2

ip addressnya harus disesuaikan dengan ip addressnya tacacs+ servernya

tacacs-server key fmcisco

harus sama dengan key nya punyanya tacacs+ server

aaa new-model

mengaktifkan tacacs+ server di NAS

aaa authentication login default group tacacs+ local

mengaktifkan authentication login untuk semua line yang diambil dari tacacs+ server dan juga dari lokal NAS

aaa authentication enable default group tacacs+ enable

mengaktifkan authentication untuk masuk ke privileged mode untuk semua line yang diambil dari tacacs+ server dan juga dari lokal NAS

untuk pengamanan ubah permissionnya dengan mengetikkan
#chmod 600 /etc/tac_plus.conf

jalankan tacacs+nya dengan mengetikkan
#tac_plus -C /etc/tac_plus.conf -d 16 -l /var/log/tac_plus.login

jangan lupa untuk open port 49 difirewall

tinggal di test deh hasilnya dengan telnet keperangkatnya
NAS = Network Access Service, bisa berupa router, switch, firewall, server dlsb

Salam,
Danuwi

15 thoughts on “konfigurasi tacacs+

  • aji

    mas udah aq patuhi perintah di atas tapi telnet kuk gak bisa ya??

    Reply
    • danu

      firewallnya uda di open lom?

      Salam,
      Danuwi

      Reply
  • Ivan

    Bro.. untuk set priveleges routenya untuk hak akses (1 sd 15) bagaimana?

    Reply
    • danu

      kak ivan uda liat yang ini lom?

      Salam,
      Danuwi
      sent with my Laughlin under Acer Aspire 4720Z

      Reply
  • Pingback: konfigurasi-tacacs dengan Authorization « to be geeks in network fields

  • iman

    bro..itu udh di tes ya..saya coba bikin seperti di atas ma yg otorisasi pada saat enable knp ga bisa ya..trs saya coba nama baru ko ga di kenal ya..

    Reply
    • danu

      absolutely uda ditest kak, makanya saya bikin dokumentasinya, coba liat di lognya kak ada errornya apa disana

      Reply
  • iman

    tail -f /var/log/tac_plus.log
    Sat Oct 1 19:30:17 2011 [13650]: Reading config
    Sat Oct 1 19:30:17 2011 [13650]: Version F4.0.4.19 Initialized 1
    Sat Oct 1 19:30:17 2011 [13650]: tac_plus server F4.0.4.19 starting
    Sat Oct 1 19:30:17 2011 [13651]: Backgrounded
    Sat Oct 1 19:30:17 2011 [13652]: Error get_socket: bind 49 Address already in use

    tp di /etc/services nya cuma ada tacac di port 49 nya

    Reply
    • danu

      firewallnya uda di open lom kak?
      ini maksudnya apa yaa kak? Sat Oct 1 19:30:17 2011 [13652]: Error get_socket: bind 49 Address already in use

      Reply
  • iman

    grep tac
    5094 pts/0 S+ 0:00 grep tac

    tac_plus.conf nya blm saya jalanin padahal.

    ada saran ga ya..

    N server saya (1 server byk Linuxnya) pengaruh ga ya..

    Reply
    • danu

      jalankan tacacs+nya dengan mengetikkan
      #tac_plus -C /etc/tac_plus.conf -d 16 -l /var/log/tac_plus.login

      perintah itu uda di jalankan lom kak? kalo uda di jalankan coba di cek apakah ada apa gak perintah itu, perintah itu kudu jalan kak

      Salam,
      Danu

      Reply
  • iman

    Bro, thanks ya..tacacs udh UP..pernah seting tacacs di juniper ga ya sbg NASnya..

    Reply
    • danu

      Alhamdulillah ilmu saya bermanfaat, untuk seting tacacs+ di juniper saya lom pernah coba kak, tapi konsepnya sih sama aja, tacacs+ server jangan di otak-atik, yang di otak-atik NASnya aja kak, kalo mo lebih enak lagi dijadiin satu tacacs+ nya ke LDAP kak lebih enak jadinya single sign on kak
      oh yaa kak, kalo mo disebarkan blog saya silahkan tapi jangan lupa yaa kak sumbernya jangan dihilangkan yaaa sesuai sourcenya :D, makasih kakak sudah mengunjungi blog saya

      Salam,
      Danu

      Reply
  • iman

    wah boleh tuh..bikin di blog donks LDAPnya 🙂 klo bikin RADIUS pernah ga bro..ada perangkat yg cm support RADIUS niy..jd mo bikin TACACS n RADIUS dalam 1 server aja..
    Ma kasih ya mas Danu atas tulisannya..

    Reply
    • danu

      waahhh kalo LDAP sih bisa aja, tapi karena kendala perangkat aja, kalo dulu bisa begini karena tuntutan kerjaan aja dan lab-nya mendukung banget, saya berhasil sih bikin LDAP, dia itu kudu lewat PAM dulu, jadi PAM-nya yang dikonfig, kalo uda bisa LDAP berarti uda bisa ke ADUC (Active Directory User and Computer), tapi untuk ADUC saya lom coba :D, kalo untuk bikin di LDAP saya gak janji yaaa… karena konfignya ada di leptop lama saya
      sama-sama kak, emang saya bikin tulisan agar bisa berguna buat orang lain dan sekaligus buat referensi saya sendiri 🙂

      oh yaa… kak mungkin kakak bisa menjabarkan kesulitan kakak waktu error itu gimana dan ampe bisa jalan Tacacs+ nya untuk pengalaman temen-temen yang lain juga

      Salam,
      Danu

      Reply

Leave a comment

Your email address will not be published. Required fields are marked *

ten + ten =