Последнее изменение текста: 20000411
Скопировано с www.bog.pp.ru: 2024.11.21

Bog BOS: TACACS (Terminal Access Controller Access Control System) сервер

Ссылки

• RFC1492 An Access Control Protocol, Sometimes Called TACACS. C. Finseth. July 1993. (Format: TXT=41880 bytes) (Status: INFORMATIONAL)
• все, что Cisco хочет рассказать о TACACS
• исходники сервера
• TACACS API definition 1.30: tac_plus.api.v1.30.ps (описание потрохов tac_plus реализации)
• описание протокола: tac_plus.rfc.1.78.txt
• документация по tac_plus: здесь, здесь или здесь
• (было на http://stipub.epfl.ch/tacacs/daemon_logic.html) диаграммы взаимодействия NAS и tacacs+

Версии

IOS 12.0(5). Tac_plus F4.0.2/3.alpha. TACACS+ protocol 1.78.

Базовые понятия

TACACS - протокол между клиентами и сервером (49/tcp): Authentification (проверка тот ли пользователь за кого он себя выдает), Authorization (права выполнять то или иное действие) и Accounting (учет затраченных ресурсов). Используется Cisco в IOS для расширения внутренних средств контроля за пользователями (невозможно каждый раз переконфигурировать киску, если появился новый клиент) с помощью внешнего сервера. Имеет три модификации: tacacs, xtacacs, tacacs+. Первые две имеют историческое значение. Фирма Cisco дарит исходники тестового tacacs+ демона всем желающим (если знаешь, где искать ;). К сожалению, он несмотря на развитие перманентно остается в состоянии альфа-версии. Весь поток информации между сервером и NAS (network access server) шифруется с использованием общего секрета (key) и MD5.

Установка

Версия F4.0.3.alpha. Правим Makefile под gcc и Solaris, USERID и GROUPID под себя (незачем ему работать под root), PIDFILE в область журнала. Расскоментировать MSCHAP (MSCHAP_DES и MSCHAP_MD4_SRC приводит к ошибке компиляции - не находит arap_des.h). Добавить MSCHAP и MSCHAP_DES в CFLAGS (интересно, как это у других работает?). В общем, можно только "ms-chap = cleartext", что совершенно не интересно. Выключил MSCHAP совсем.

Правим do_acct.c так, чтобы в учетный журнал не выдавались пробелы и непечатные символы (IOS 12.0 начал выдавать записи о неудачных попытках соединения, что позволяет хакерам вмешиваться в работу учетной системы, вводя вместо имени пользователя хитро составленную строку, имитирующую строку из учетного журнала).

Якобы maxsess.c для IOS 12 надо править (finger выдает имя пользователя не с 13, а с 15 позиции), но IOS 12.0.5 по-прежнему выдает имя с 13й позиции.

make tac_plus - все откомпилировалось!

В /etc/services добавляем: "tacacs 49/tcp", хотя это вроде бы лишнее.

Засылаем в /usr/local/sbin и даем права "r-sr-s---", чтобы можно было запускать не ис-под суперпользователя.

Для использования алгоритма s/key для аутентификации необходимо подключить libskey.a при сборке.

Для обработки MSCHAP демоном необходимо наличие библиотеки DES (des_setkey() и др.) при сборке. Если DES отсутствует, то обработка MSCHAP все-таки производится, но на NAS, что менее безопасно.mschap.h вместо ключа содержит интересную фразу: "Contact Microsoft for the MSCHAP key". Без такого ключа часть обработки опять-таки будет делаться не демоном, а NAS.

Ключи запуска

tac_plus

• -C имя-конфигурационного-файла
• -t (выдавать журнал на консоль)
• -P (проверить правильность синтаксиса файла конфигурации)
• -g (отладочный режим - без порождения подзадач)
• -p tcp-порт (по умолчанию - 49)
• -d уровень-отладки (в /var/tmp/tac_plus.log)
• -v (напечатать версию и выйти)
• -s (не отвечать на sendpass - старый менее безопасный протокол -, а только sendauth)
• -L (получать имена по DNS)
• -l файл-журнал
• -w файл-для-записи-who-журнала (для maxsess, по умолчанию - /var/tmp/tac.who_log)
• -u wtmp-файл (регистрация пользователей с помощью wtmp вместо стандартного учетного файла tacacs+)
• -i (запуск через inetd)

Сигналы:

• USR1 - перечитать конфигурационный файл (ошибка в новой конфигурации убъет демон)

Использует syslog (LOG_LOCAL6). Отладочная печать в него не выдается.

Конфигурирование tacacs+

Подробное описание синтаксиса есть в документации, так что я его опущу. В начале файла должен задаваться ключ (им шифруются все передаваемый пакеты, так что его необходимо тщательно скрывать, знание ключа позволяет извлечь пароли пользователей - для борьбы с этим надо включить поддержку DES в tac_plus).
key = ключ
тот же ключ д.б. задан в конфигурации IOS
tacacs-server key ключ

Всю, что начнается с # до конца строки считается комментарием. Если # нужен сам по себе (в паролях, например), то он д.б. заключен в кавычки.

Для каждого вида деятельности описываются группы. У меня их две: заход на BBS
group = telnet {
═service = exec { autocmd = "telnet 194.84.39.28 23 " } # выполняем telnet за пользователя
═cmd = telnet { permit "^194.84.39.28 23 .*" } # разрешаем этот telnet и только его
}
и работа в PPP (на самом деле отдельная группа на каждый тарифный план)
group = ppp {
═after authorization "имя-программы-дополнительной-проверки $name $port $user ppp"
═service = exec { autocmd = "ppp default"═} # выполнем запуск ppp за пользователя
═cmd = ppp { permit .* } # разрешаем ppp
═service = ppp protocol = ip {
═default attribute = permit # разрешаем IP
═addr-pool = "default" # навязываем IP адрес клиента из пула сервера доступа
═dns-servers = "адреса серверов через пробел"
═inacl = имя-ACL-который-будет-поставлен-на-входной-интерфейс
═}
}

Теперь описания обычных пользователей выглядят так:
user = имя-пользователя {
═login = des "шифрованный пароль"
═pap = des "шифрованный пароль"
═after authorization "имя-личной-программы-дополнительной-проверки $name $port $user" # если необходимо
═member = telnet | ppp
═maxsess = число-одновременных-сессий
═service = ppp protocol = lcp { timeout = макс-длина-сессии-в-секундах}
}

Проверка подлинности клиента (authentification)

В описании группы задаются параметры общие для всех членов группы. В описании пользователя указываются специфичные для данного пользователя параметры (перекрывают значения параметров в описании группы). Группы могут входить в состав других групп (число уровней иерархии не ограничено). Внутри фигурных скобок могут быть команды:

• arap = cleartext "пароль для arap"
• chap = cleartext "пароль для chap" # заметьте, что в этом случае пароль нельзя шифровать
• ms-chap = cleartext "пароль для chap" # заметьте, что в этом случае пароль нельзя шифровать
• pap = cleartext "inbound pap password"
• pap = des "шифрованный как Unix пароль"
• opap = cleartext "outbound pap password"
• login = cleartext "пароль для текстового диалога useername/password"
• login = des "шифрованный как Unix пароль для диалога"
• login = file /etc/passwd
• login = nopassword
• login = skey
• global ═= cleartext "единый пароль на все случаи жизни"
• expires = "MMM DD YYYY" # дата протухания пароля, пользователь получает предупреждение за 14 дней

Специальные пользователи: $enabуровень$, где уровень - это уровень привилегий в EXEC IOS. Позволяет задать внешне-управляемый пароль для перехода на другой уровень привилегий. Задействуется командой: "aaa auth enable default tacacs+".

Специальный пользователь DEFAULT позволяет задавать параметры авторизации по умолчанию.

Проверка прав (authorization).

По умолчанию, NAS разрешает вошедшему пользователю все, если ее не сконфигурировать передавать запросы к демону. Демон, уж если запрос попал к нему, наоборот запрещает все по умолчанию. Демон может запретить выполнение команды или использование сервиса или модифицировать их параметры.

Авторизация команд конфигурируется заданием регулярных выражений в качестве шаблонов для сравнения запрошенной пользователем команды (синтаксис аналогичен egrep) и действия "deny" или "permit":
cmd = имя-команды═{
═deny/permit шаблон
═...
}

Используется первый подошедший шаблон. Если не подошел ни один, то команда запрещается. Все имена команд предварительно расширяются до их полного вида.Если нужно разрешить все или почти все, то используются строки:

• default authorization = permit # на самом внешнем уровне, разрешает все по умолчанию
• default service = permit # на уровне пользователя, разрешить все по умолчанию для данного пользователя (д.б. первой)
• default attribut = permit # на уровне описания сервиса (д.б. первой)

Если разрешается выполнение хотя бы одной команды, то неявно разрешается запуск EXEC, но можно поменять параметры СЕРВИСА exec
service = exec {
═acl = 4
═autocmd = "ppp default"
}

Авторизация сервисов. При попытке пользователя запустить сервис, NAS посылает демону запрос состоящий из набора AV-пар (attribut=value или attribut*value, если значение необязательно). Например, авторизация PPP/IP состоит из следующих запросов:

1. service=ppp
   protocol=ip
   ...
2. service=ppp
   protocol=lcp # здесь можно задать параметры LCP (callback, например)
   ...
3. service = ppp
   protocol = ipcp
   ...
4. если клиент требует адрес, не возвращенный демоном ранее, то делается запрос(ы) на проверку допустомости адреса

Каждый запрос обрабатывается так: ищется в описании пользователя или группы часть соответствующая сервису и протоколу. Затем для каждой обязательной AV пары, пришедшей с NAS, ищется значение атрибута из списка обязательных. Если нашли, AV пара передаются на выход. Если не нашли, ищем первое соответствие среди списка необязательных. Если нашли, передаем на выход. Если не нашли ни там ни там, то в зависимости от авторизации по умолчанию: deny - запретить команду (сервис?), permit - пропустить AV пару на выход. Для опциональной AV пары, пришедшей с NAS, ищется значение атрибута из списка обязательных. Если нашли, AV пара с демона - на выход. Если не нашли, ищем первое соответствие среди списка необязательных. Если нашли, передаем на выход AV пару с демона (при обоих поисках приоритет имеет точное соответствие). Если не нашли ни там ни там, то в зависимости от авторизации по умолчанию: deny - удалить AV пару, permit - пропустить AV пару с NAS на выход. После всего этого, для каждой обязательной AV пары на демоне, проверятся есть ли соответствующая ей пара на выходе, и если нет, то добавляем AV пару с демона на выход. Необязательность AV пары на демоне задается словом optional перед именем атрибута.

Программа дополнительной авторизацией до tacacs. Сервер доступа передает tacacs+ серверу пакет запроса (поля пакета запроса можно передавать программе предварительной авторизации в виде параметров) и набор AV пар (передаются на стандартный ввод программме по одной на строке в формате имя=значение и ожидаются на стандартном выводе программы - пробелы запрещены!). Вызов программы оформляется так:
user = имя {
═ ═before autorization "имя-программы поле-запроса ..."
═ ═...
}
Полный список полей запроса:

• $user - имя пользователя
• $name - имя сервера доступа (IP-адрес)
• $port - порт сервера доступа (в виде ttyNN при входе через exec или AsyncN при запуске PPP без использования exec)
• $address - IP-адрес пользователя или caller-ID (у меня слово "async", как бы запихнуть сюда строку CONNECT?)
• $priv - уровень привилегий (от 0 до 15)
• $method (каким способом была проверена подлинность пользователя - authentication method)
  • 1 - none
  • 2 - KRB5 (kerberos, version 5)
  • 3 - line (пароль, привязанный к линии)
  • 4 - enable (команда изменения привилегий)
  • 5 - local (в соответствии с локальной базой данных NAS)
  • 6 - tacacs+
  • 8 - guest (например, guest в ARAP)
  • 16 - RADIUS
  • 17 - KRB4 (kerberos, version 4)
  • 32- RCMD (r-команды, видимо подразумевается .rhosts)
• $type - от 1 до 4
  1. ASCII
  2. PAP
  3. CHAP
  4. ARAP
  5. MS CHAP (IOS 11.2 и выше)
• $service - от 1 до 7
  1. login
  2. enable
  3. ppp
  4. arap
  5. pt
  6. rcmd
  7. X25
  8. NASI
  9. FWPROXY
• $status -
  • pass
  • fail
  • error
  • unknown
• любое другое выражение будет передано как строка "unknown"

Программа будет вызываться несколько раз, т.к. приходит несколько запросов на аутехтификацию/авторизацию (у меня 4: shell, ppp/ip, ppp/lcp, еще раз ppp/ip). Программа должна передать AV-пары на свой стандартный выход (м.б. изменив их - я вставляю timeout, чтобы киска сама отрубала клиента, перерасходовавшего лимит). Коды возврата: 0 - авторизация разрешена, AV-пары не передаются на NAS; 1 - авторизация запрещена; 2 - авторизация разрешена, модифицированные AV-пары передаются на NAS со статусом AUTHOR_STATUS_PASS_REPL, дальнейшая обработка запроса не делается (включая как ту, что определена конфигурацией tacacs+ сервера, так и программу пост-обработки), нельзя использовать при авторизации комманды; 3 - авторизация запрещена, но все AV-пары передаются на NAS, ═а stderr помещается в поле server-msg и также передается на NAS.

Программа дополнительной проверки после tacacs (вместе они не работают, во всяком случае в версии 2.1). Позволяет ограничить вход для определенных пользователей, категорий пользователей в заданное время или на заданный телефонный номер. Аналогично, но программа будет вызвана уже после обработки запроса tacacs+ сервером:
group = ppp {
═after authorization "имя-программы поле-запроса ..."
═...
}
Список полей запроса смотри выше. Опять-таки программа будет вызываться несколько раз для каждого пользователя. Если используется внешняя база данных надо учитывать, что запросы от NAS обрабатываются параллельно, так что д.б. сделана синхронизация, которая д.б. рассчитана на "внезапную смерть" блокировавшего процесса (child tacacs+ сервера иногда помирает). Код возврата: 0 - авторизация продолжается, как будто программа и не вызывалась (используется для ведения статистики), 1 - авторизация запрещена, 2 - авторизация разрешена, модифицированные (м.б.) AV-пары со стандартного вывода передаются на NAS вместо AV-пар, сгенерированных tacacs+ сервером.

Для отладки используйте "debug aaa authorization".

Программы пре- и поставторизации вызываются через sh. Если программа не существует sh возвращает код возврата, зависящий от версии Unix.

tacacs+ не обрабатывает случай зависания программы пре- и поставторизации.

Программы пре- и поставторизации имеют те же права, что и tacas+ (лучше, если не root).

Кавычки в AV-парах посылаемых на стандартный вывод использовать не надо (никто не будет их удалять).

AV-пары авторизации (если разделены знаком равенства, то это обязательный аргумент, если звездочкой, то опциональный):

• acl - только при service=shell и cmd=NULL (запуск самого EXEC)
• addr - сетевой адрес (service=ppp, protocol=ip)
• addr-pool - имя локального (для NAS) адресного пула, из которого взять адрес (service=ppp, protocol=ip)
• autocmd - только при service=shell и cmd=NULL (запуск самого EXEC)
• callback-dialstring (11.1) - номер телефона (service=ppp или shell)
• callback-line (11.1) - номер линии
• callback-rotary (11.1) - номер rotary group
• cmd-arg - может быть несколько, порядок существенен (service=shell)
• cmd - обязательная пара для сервиса shell: имя команды EXEC
• dns-servers (11.3) - IP-адреса серверов DNS через пробел, передаваемых клиентам MS PPP (service=ppp, protocol=ip)
• gw-password (11.2) - пароль для home gateway L2F тунеля (service=ppp and protocol=vpdn)
• idletime (11.1) - время в минутах до завершения неактивной сессии (в PPP не работает)
• inacl#номер-строки (11.3) - определяется входной список доступа и применяется к интерфейсу на время сеанса (service=ppp, protocol=ip)
• inacl (11.0) - имя или номер, определенного в конфигурации NAS входного списка доступа, применяется к интерфейсу на время сеанса пользователя (service=ppp, protocol=ip/ipx)
• interface-config (11.3) - значением является любая команда конфигурации интерфейса
• ip-addresses (11.2) - возможные значения IP-адресов для конца тунеля (service=ppp and protocol=vpdn)
• link-compression (11.3) - использовать ли алгоритм сжатия STAC
  • 0 - нет
  • 1 - Stac
  • 2 - Stac-Draft-9
  • 3 - MS-Stac
• load-threshold (11.3) - порог нагрузки (от 1 до 255), после которого добавляются/удаляются доп. линки в multilink bundle (service=ppp and protocol=multilink)
• max-links (11.3) - максимальное число линков, которые пользовател может иметь в multilink bundle (service=ppp and protocol=multilink)
• nas-password (11.20 - пароль для NAS при аутентификации для L2F тунеля (service=ppp and protocol=vpdn)
• nocallback-verify (11.1) - (всегда = 1). означает, что не требуется верификации при callback (service=arap, service=slip, service=ppp, service=shell)
• noescape - (м.б. true или false), запретить использовать символ прерывания ввода (service=shell.)
• nohangup - (м.б. true или false), запретить отключение пользователя по завершению сеанса EXEC(service=shell.)
• outacl#номер-строки (11.3) - определяется выходной список доступа и применяется к интерфейсу на время сеанса (service=ppp, protocol=ip)
• outacl (11.0) - имя или номер, определенного в конфигурации NAS выходного списка доступа, применяется к интерфейсу на время сеанса пользователя (service=ppp, protocol=ip/ipx)
• pool-def#номер-строки (11.3) - определить пул IP адресов
• pool-timeout (11.2) - время на проверку существования указанного адресного пула на NAS
• ppp-vj-slot-compression - указание маршрутизатоту не использовать сжатие слотов при посылке VJ-сжатых пакетов.
• priv-lvl - уровень привилегий, назначаемый процессу EXEC (0-15, - - по умолчанию, 15 - наивысший)
• protocol - подмножество сервиса (в основном для ppp)
  • lcp
  • ip
  • ipx
  • atalk
  • vines
  • lat
  • xremote
  • tn3270
  • telnet
  • rlogin
  • pad
  • vpdn
  • deccp
  • osicp
  • ccp (compression control protocol)
  • cdp (cisco discovery protocol)
  • bridging
  • xns
  • nbf
  • bap
  • multilink
  • unknown
• route (11.1) - определяет статический маршрут, применяемый к интерфейсу (service=ppp, protocol=ip). Указывается в виде адреса назначения, маски подсети и (возможно) шлюза. Если шлюз опущен, то через соседа (peer). По завершению сеанса маршрут удаляется.
• route#номер-строки (11.3) - аналогично AV route, но позволяет нумеровать маршруты и стало быть иметь их много.
• routing - true/false: обрабатывать ли информацию о маршрутизации
• rte-ftr-in#номер-строки (11.3) - определяет входной список доступа, устанавливаемый на интерфейс и применяемый к изменениям маршрутов в течении текущей сессии.
• rte-ftr-out#номер-строки (11.3) - определяет выходной список доступа, устанавливаемый на интерфейс и применяемый к изменениям маршрутов в течении текущей сессии.
• sap - для IPX
• sap-fltr-in - для IPX
• sap-fltr-out - для IPX
• service - обязательная пара
  • slip
  • ppp
  • arap
  • shell
  • tty-daemon
  • connection
  • system
• source-ip (11.2) - задает исходный IP адрес VPDN пакетов (эквивалент команды: vpdn outgoing).
• timeout - максимальное время сессии в минутах (в PPP не работает, но работает, если ppp запускается из shell-сессии)(начиная с 11.3.8 - работает и для service=ppp protocol=lcp, но выражается в секундах).
• tunnel-id (11.3) - this is analogous to the remote name in the vpdn outgoing command (service=ppp and protocol=vpdn).
• wins-servers (11.3) - IP-адреса серверов WINS (NetBIOS Name Service) через пробел, передаваемых клиентам MS PPP (service=ppp, protocol=ip)
• zonelist (AppleTalk)

А вот пример, не вошедший в книжку (raccess {} обеспечивает доступ к любому порту, если raccess вообще нет, то и доступа не будет):
user = jim
{
login = cleartext lab
service = raccess {
port#1 = cat1/tty2
port#2 = cat2/tty5
}
}

Учет (account).

В следующей строке должно быть задано имя учетного файла
accounting file = полный-путь-к-файлу

Формат файла зависит от версии tacacs+ сервера и версии IOS. Для версии tacacs+ F.4.0.2.alpha и IOS 12.0(3) получается следующая картина. Каждая учетная запись представляет собой одну строку, разделенную на поля символом табуляции (внутри поля могут быть пробелы и табуляции! - поправить do_acct.c и обработку журнала). В начале идут позиционные поля (имя дня недели, имя месяца, номер дня в месяце, локальное время, год, имя или адрес NAS, имя пользователя, имя линии, тип линии, тип события), за ними AV-пары.

Дополнительные AV-пары при учете (также могут использоваться любые AV-пары, определенные для авторизации, замечено использование service, protocol, addr):

• bytes_in
• bytes_out
• cmd - команда, выполненная пользователем
• disc-cause (11.3) - причина отключения (в записях stop, записи stop могут генерироваться без соответствующе записи start). Как это описано в документации Cisco:
  • 2 - Unknown
  • 4 - CLID-Authentication-Failure
  • 10 - No-Carrier (для модема)
  • 11 - Lost-Carrier (для модема)
  • 12 - No-Detected-Result-Codes (для модема)
  • 20 - User-Ends-Session (для EXEC)
  • 21 - Idle-Timeout (для любого режима)
  • 22 - Exit-Telnet-Session (для EXEC)
  • 23 - No-Remote-IP-Addr (при попытке переключиться в SLIP/PPP выясняется, что это был не модем)
  • 24 - Exit-Raw-TCP (для EXEC)
  • 25 - Password-Fail
  • 26 - Raw-TCP-Disabled (для EXEC)
  • 27 - Control-C-Detected
  • 28 - EXEC-Process-Destroyed
  • 40 - Timeout-PPP-LCP
  • 41 - Failed-PPP-LCP-Negotiation
  • 42 - Failed-PPP-PAP-Auth-Fail
  • 43 - Failed-PPP-CHAP-Auth
  • 44 - Failed-PPP-Remote-Auth
  • 45 - PPP-Remote-Terminate
  • 46 - PPP-Closed-Event
  • 100 - Session-Timeout
  • 101 - Session-Failed-Security
  • 102 - Session-End-Callback
  • 120 - Invalid-Protocol
• disc-cause (11.3) - на самом же деле реализовано встраивание атрибута 49 для RADIUS accounting (RFC 2059) в TACACS+ (Dennis Peng of Cisco):
  • 1 User Request
  • 2 Lost Carrier
  • 3 Lost Service
  • 4 Idle Timeout
  • 5 Session Timeout
  • 6 Admin Reset
  • 7 Admin Reboot
  • 8 Port Error
  • 9 NAS Error
  • 10 NAS Request
  • 11 NAS Reboot
  • 12 Port Unneeded
  • 13 Port Preempted
  • 14 Port Suspended
  • 15 Service Unavailable
  • 16 Callback
  • 17 User Error
  • 18 Host Request
• disc-cause-ext (11.3) - расширенный код причины отключения (в настоящее время атрибут 195 для ASCEND реализации RADIUS). Я понял! Это то, что описано в документации Cisco под видом disc-cause, но с прибавлением 1000:
  • 1002 Unknown
  • 1004 CLID Authentication Fail
  • 1010 No Carrier
  • 1011 Lost Carrier
  • 1012 No Modem Result Codes
  • 1020 User Request
  • 1021 Idle Timeout
  • 1022 Exited Telnet
  • 1023 Peer has No IPADDR
  • 1024 Lost Service
  • 1025 Password Failure
  • 1026 TCP Disabled
  • 1027 Control-C Detected
  • 1028 Host Request
  • 1040 LCP Neg Timeout
  • 1041 LCP Neg Failed
  • 1042 PAP Auth Failed
  • 1043 CHAP Auth Failed
  • 1044 Remote Auth Failed
  • 1045 Received Terminate
  • 1046 Upper Layer Req
  • 1100 Session Timeout
  • 1101 Fail Security
  • 1102 Callback
  • 1120 Service Unavailable
• elapsed_time (секунд)
• event - только если service=system (изменения системного уровня)
  • net_acct
  • cmd_acct
  • conn_acct
  • shell_acct
  • sys_acct
  • clock_change
  • starting
  • stoping
• mlp-links-max (11.3) - количество соединений в multilink
• mlp-sess-id (11.3) - Reports the identification number of the multilink bundle when the session closes. This attribute applies to sessions that are part of a multilink bundle. This attribute is sent in authentication-response packets.
• nas-rx-speed (11.3) - средняя скорость (бит/сек) сессии - у меня либо 0, либо огромное бессмысленное число
• nas-tx-speed (11.3) - скорость соединения между модемами - у меня nax-tx-speed равный либо 0, либо огромное бессмысленное число
• paks_in
• paks_out
• port - не выдается
• pre-bytes-in (11.3) - количество байт, переданных ═перед аутентификацией
• pre-bytes-out (11.3)
• pre-paks-in (11.3)
• pre-paks-out (11.3)
• pre-session-time (11.3) - секунд от коннекта до завершения аутентификации
• priv_level
• protocol - см, AV-пары авторизации
• reason - для событий системного уровня (reload, shutdown, ...)
• service - см, AV-пары авторизации
• start_time (UNIX-стиль: число секунд с 1 января 1970)
• stop_time
• task_id
• timezone (MSK, MSD)

Конфигурирование NAS

callback (не проверял)

В конфигурацию NAS добавляем:
═aaa new-model
═tacacs-server host ...
═tacacs-server key ...
═aaa authentication login execckeck tacacs+
═aaa authentication ppp pppcheck tacacs+
═aaa authorization network tacacs+
═service exec-callback
═line 4
═login authentication execcheck
═int async 6
═ppp authentication chap pppcheck
═ppp callback accept

Конфигурация tacacs+:
═user = имя {
═ login/chap = des ...
═ service ppp protocol = lcp { callback-dialstring = 1234567 }
═ service = exec {
═ ═callback-dialstring = 1234567
═ ═callback-line=7
═ ═nocallback-verify = 1
═ }

Отладка

Проверка синтаксиса конфигурационного файла: tac_plus -P

tac_plus -d уровень-отладки должен сбрасывать отладочную печать в /var/tmp/tac_plus.log. К сожалению, в этот файл попадают только сообщения о запуске tac_plus и все. Отладочную печать мне удалось получить только на консоль, что в моей конфигурации (а/ц терминал) невозможно использовать. Или на stdout при запуске в отладочном режиме (-g).

Решение проблем

• tacacsd помер, как теперь добраться до киски?

Местные особенности (устарело)

Подсчет времени, который затратил каждый пользователь на PPP

TACACS сервер заносит в свою (account.tacacs) базу данных (при нынешней конфигурации) запись о каждом конце сеанса PPP пользователя:

1. время (5 полей);
2. имя терминального сервера;
3. имя пользователя;
4. номер порта на терминальном сервере;
5. async;
6. stop (это и есть признак конца сеанса);
7. ключевые параметры, среди которых есть:
   • service=PPP
   • elapsed_time=<потраченное время в секундах>
   • количество входных/выходных байт/пакетов

(tacacs/ppp_elapsed.sh) процедура извлекает из этой базы данных все записи за последние 86400 секунд (сутки) и суммирует потраченное каждым пользователем время.

Структура нашего конфигурационного файла

наш конфигурационный файл (config.tacacs) изготавливается из базы пользователей WorldGroup и состоит из трех частей:

1. заголовка, в котором указан ключ шифрования, имя (account.tacacs) файла статистики и описание пользователя bbs из группы telnet с паролем bbs (для demo пользователей).
2. для каждого платного пользователя два имени входа (<имя пользователя>, <имя пользователя>-ppp ) с паролем, взятым из базы пользователей WorldGroup. Первое имя из группы telnet, второе из группы ppp.
3. Описание групп:
   telnet (автокоманда telnet 194.84.39.28 23 и с правами только на эту команду) и
   ppp (автокоманда ppp default и соответствующие права).

Запуск tacacs сервера

crontab пользователя содержит строчку, каждый час запускающую tacacs_reload.sh, которая либо запускает tacacs_сервер (если он не был запущен ранее) с конфигурационным файлом или извещает запущенный ранее сервер о необходимости заново прочитать конфигурационный файл.

Учет времени использования каждого модема.

С помощью tacacs/modem_monitoring.sh процедуры из учетной базы данных TACACS сервера извлекаются данные за последние сутки, сортируются и суммируется траффик (в КБ) ═и время (в минутах) по ключу <имя терм. сервера, номер линии>.