Merhaba arkadaşlar bu makalemde Cisco ise üzerinden switchlerin domain controller kullanıcı hesapları ile yönetiminin nasıl yapılacağını sizlerle paylaşacağım
Öncelikle cisco ise dc ile entegre etmeniz gerekiyor, daha sonra aşağıdaki gibi sırasıyla switchleri ekleyip kuralları yazmanız gerekiyor
- Switch, Router ve WLC device’ları eklemek için aşağıdaki gibi –Work Centers,- Device Administrator,- Network Resources,- Network Devices
İp address- switch,router veya WLC cihazın ip adresi
TACACS+ AUTHENTİCATİON SETTİNGS işaretlemeniz gerekiyor,
Shared Secret şifre belirlemelisiniz (authentication şifresi)
Enable Single Connect Mode işaretleyin(cisco’ya özel bir protokoldür) farklı marka switch varsa işaretlemeyin
TACACS+ Draft Compliance Single Connect Support (işaretleyin,)
Grup belirlemek isterseniz Cisco_All fonksiyonunu kullanarak belirtebilirsiniz
evet switchleri ve network cihazlarını yukarıdaki gibi ekledikten sonra diğer aşamaya geçebiliriz
- Policy Results yazacağız, buradaki adım kullanıcıların yazacakları command ve erişim yetkileri dir, (yani L1 kullanıcısı sadece Show run komutunu çalıştırabilir) L2 belirli configleri değiştirebilir, L3 admin yetkili gb.
Komut yetkilendirlerini ve seviye gruplarını aşağıdaki gibi yapabilirsiniz
aşağıda kullanıcı gruplarının hangi komutları çalıştırabileceğini belirtebilirsiniz
şimdi profile işlemlerine geçebiliriz.
- TACACS Profiles tanımlama
Evet aşağıdaki işlemde tacacs+ line vty için Privilege’ye yetki tanımlaması yapacağız
Full yetkili seviyesi olarak leven 15 olacak maximum ve default değeleri 15 yapabilirsiniz
İsterseniz Access control list tanımlayıp erişilmesi gerek cihazlarada acl yazabilirsiniz
Cisco ise ile istediğiniz herşeyi yapmak mümkün ucu açık bir dünya
aşağıda’da oluşturduğumuz profile son hali
profile tanımıda bittiğine göre artık policy adımlarına geçebiliriz
- Device admin policy sets (cihaz erişim ve yetki kural tanımlamaları)
Evet arkadaşlar aşağıdaki işlemde ilk önce authentication yani doğrumalayı nerden yapacak yani ortamda domain controller sunucudanmı yoksa cisco ise üzerindeki local users/endpoint manual açılan kullanıcılar üzerinden’mi bunu belirtmemiz gerekli
AUTHENTİCATİON POLİCY ;
AD_ADMIN – Burada belirttiğim iki aşama var biri ortamdaki dc sunucum üzerindeki kullanıcıları çekecek login olurken
DEFAULT RULE – cisco ise üzerinde manual olarak oluşturduğum kullanıcı bilgilerini çekecek
AUTHORİZATİON POLİCY ;
Kullanıcıların hangi yetkiler çerçevesinde cihazlara login olacağı ve domain üzerinden gelecekse kullanıcı hangi gruptan geleceğini belirtiyorsunuz
COMMAND SETS; yukarıda oluşturduğumuz komutların hangisini kullanacak login olan kullanıcı ,
İsterseniz hangi cihazlara bağlanması gerektiğini buradanda seçebilirsiniz
Genel itibari ile cisco Tacacs+ böyle kullanılır tabi NOC ekibiniz yoksa var ise dahada kapsamlı özelleştirebiliriz bu arada 500+ üzeri router switch ve network cihazlarında
Cisco İse üzerinden Banner yazabilirsiniz ve özelleştirebilirsiniz
Aşağıdaki resimde DC_ADMİN_ACCESS kısmında conditions’a takılmayın sunucu doğrulamasını yukarıda belirtmiş olduğum AUTHENTİCATİON belirler o yüzden AUTHORİZATİON policy pek bir önemi yok o tarafta dediğim gibi Cisco ise’ı istediğiniz gibi şekillendirebilirsiniz firewall mantığında çalışıyor zaten hatta kuralları yukarında aşağı doğru okuyor yani yazdığınız kurallara dikkat edin okuma sıralaması vardır herzaman üstteki kurala öncelik verir ise
evet bittimi bitmedi şuan sadece ise tarafındaki policy ve results’ları yazdık
şimdi cisco switch tarafındaki ise ile entegre etmeye geldi sıra
Buradaki linkten Cisco tarafındaki komutları yapabilirsiniz.