ToB企服应用市场:ToB评测及商务社交产业平台

标题: TAC_PLUS AAA 平台及web展示 [打印本页]

---

作者: 农妇山泉一亩田    时间: 2024-9-22 05:44
标题: TAC_PLUS AAA 平台及web展示
1 介绍

AAA是认证（Authentication）、授权（Authorization）和计费（Accounting）的简称，是网络安全中举行访问控制的一种安全管理机制，提供认证、授权和计费三种安全服务。
TACACS & TACACS+：Terminal Access Controller Access Control，System终端访问控制器访问控制系统。通过一个或多个中央服务器为路由器、网络访问控制器以及其它网络处置惩罚设备提供了访问控制服务。TACACS支持独立的认证（Authentication）、授权（Authorization）和计费（Accounting）功能。
2 安装

2.1 Ubuntu 安装

Ubuntu 20.04 之后不再支持tacacs，最好是使用Ubuntu18.04
1、安装

1. # 下载并安装 TACACS+  
2. ### 不能使用apt来安装，Ubuntu 20.04 之后不再支持
3. ### 可以在Ubuntu 18.04 或者同样版本的镜像上安装
4. apt-get update
5. apt-get install tacacs+
7. ## 配置文件
8. vim tac_plus.conf
9. ---------------------------------------------------
10. key = "tacacs123" #tacacs?key
11. accounting syslog;
12. accounting file = /var/log/tacacs_accounting.log   #tail -f /var/log/tacacs_accounting.log
13. default authentication = file /etc/passwd
16. acl = network_admin {
17.         # allow access from all sources
18.         #permit = ^10\.
19.         permit =  ^115\.
20.         permit = [0-9]{1,3}\.
21.         # implicit deny (ie: anything else)
22. }
25. group = admin {
26.     default service = permit
27.     acl = network_admin
28.     service = exec {
29.          priv-lvl = 15
30.     }
31.     cmd = display {
32.         permit .*
33.     }
34. }
35. group = operator {
36.     acl = network_admin
37.     service = exec {
38.          priv-lvl = 1
39.     }
40.     cmd = display {
41.         permit .*
42.     }
43.     cmd = show {
44.         permit .*
45.     }
46. }
47. group = ro {
48.     acl = network_admin
49.     service = exec {
50.          priv-lvl = 15
51.     }
52.     cmd = display {
53.         permit .*
54.     }
55.     cmd = show {
56.         permit .*
57.     }
58.     cmd = interface {
59.         permit .*
60.     }
61.     cmd = undo {
62.         permit shutdown
63.     }
64.     cmd = configure {
65.         permit .*
66.     }
67.     cmd = no {
68.         permit shutdown
69.     }
70.     cmd = exit {
71.         permit .*
72.     }
73.     cmd = quit {
74.         permit .*
75.     }
76.     cmd = screen-length {
77.         permit .*
78.     }
79.     cmd = terminal {
80.         permit .*
81.     }
82.     cmd = set {
83.         permit cli.*
84.     }
85.     cmd = ping {
86.         permit .*
87.     }
88.     cmd = tracert {
89.         permit .*
90.     }
91.     cmd = admin {
92.         permit show
93.     }
94.     cmd = shutdown {
95.         permit .*
96.     }
97. }
99. user = chen_admin {                 #chen_admin：账号
100.     login = des aPzSgJMfBUGB2  #使用 tac_pwd，生成账号密码：7FLiiVJUDhin2
101.     # expires = "Feb 20 2032"
102.     member = admin                 #权限
103. }
105. user = chen_ro {
106.     login = des temjCCsjBECmU
107.     # expires = "Feb 20 2032"
108.     member = ro                      #权限
109. }
111. ####### 生成密码
112. tac_pwd
113. Password to be encrypted: admin@123
114. aPzSgJMfBUGB2
116. tac_pwd
117. Password to be encrypted: test123
118. temjCCsjBECmU
121. ## 启动守护进程
122. /etc/init.d/tacacs_plus restart
123. * Restarting TACACS+ authentication daemon tacacs+                                                                                                                                                                      [ OK ]

复制代码

2、配置文件解释

1. cat /etc/tacacs+/tac_plus.conf
2. # Created by Henry-Nicolas Tourneur(henry.nicolas@tourneur.be)
3. # See man(5) tac_plus.conf for more details
5. # Define where to log accounting data, this is the default.
6. ###  TACACS+ 账户的日志文件
7. accounting file = /var/log/tac_plus.acct
9. # This is the key that clients have to use to access Tacacs+
10. ## TACACS+ 密钥
11. key = testing123
13. # Use /etc/passwd file to do authentication
14.    
15. #default authentication = file /etc/passwd
18. # You can use feature like per host key with different enable passwords
19. #host = 127.0.0.1 {
20. #        key = test
21. #        type = cisco
22. #        enable = <des|cleartext> enablepass
23. #        prompt = "Welcome XXX ISP Access Router \n\nUsername:"
24. #}
26. # We also can define local users and specify a file where data is stored.
27. # That file may be filled using tac_pwd
28. #user = test1 {
29. #    name = "Test User"
30. #    member = staff
31. #    login = file /etc/tacacs/tacacs_passwords
32. #}
34. # We can also specify rules valid per group of users.
35. #group = group1 {
36. #       cmd = conf {
37. #               deny
38. #       }
39. #}
41. # Another example : forbid configure command for some hosts
42. # for a define range of clients
43. #group = group1 {
44. #       login = PAM
45. #       service = ppp
46. #       protocol = ip {
47. #               addr = 10.10.0.0/24
48. #       }
49. #       cmd = conf {
50. #               deny .*
51. #       }
52. #}
54. user = DEFAULT {
55.         login = PAM
56.         service = ppp protocol = ip {}
57. }
59. # Much more features are availables, like ACL, more service compatibilities,
60. # commands authorization, scripting authorization.
61. # See the man page for those features.

复制代码

2.2 Docker 安装 - 通过自己构建镜像安装

这里提供了打包tacacs镜像全部必要的资料，可下载：tacacs资料包
可以把web展示打包进镜像中也可以打包，根据自己的需求举行修改。
1、Dockerfile 文件

1. mkdir /opt/tacacs
2. cd /opt/tacacs
4. # 1、Dockerfile 文件
5. vim Dockerfile
7. # Use Base Ubuntu image
8. FROM ubuntu:18.04
9. # Author of this Dockerfile
10. MAINTAINER Andrew Roderos
11. # Update & upgrades
12. RUN apt-get update && apt-get upgrade -y
13. # Install tacacs+ and Google Authenticator
14. RUN apt-get install tacacs+ libpam-google-authenticator -y
15. # Clear local repo
16. RUN apt-get clean
17. # Create a user with home directory
18. RUN useradd -m -d /home/andrew -s /bin/bash andrew
19. # Add password to andrew account
20. RUN echo "andrew:test" | chpasswd
21. # Copy Google secret key from host's volume to tacacs+ container
22. COPY .google_authenticator /home/andrew
23. # Change file owner
24. RUN chown andrew:andrew /home/andrew/.google_authenticator
25. # Copy tac_plus configuration file from host to the container
26. COPY tac_plus.conf /etc/tacacs+/tac_plus.conf
27. # Add tac_plus PAM
28. RUN touch /etc/pam.d/tac_plus
29. RUN echo auth requisite pam_google_authenticator.so forward_pass >> /etc/pam.d/tac_plus
30. RUN echo auth required pam_unix.so use_first_pass >> /etc/pam.d/tac_plus
31. # Run tac_plus as foreground process and use /etc/tacacas+/tac_plus.conf as the config file
32. #CMD ["tac_plus", "-G", "-C", "/etc/tacacs+/tac_plus.conf"]
33. # Install nginx, php-fpm
34. COPY supervisord.conf /etc/supervisor/conf.d/supervisord.conf
35. ENV TZ=Asia/Shanghai
36. #### 配置变量 DEBIAN_FRONTEND ，可以使以下安装不需要输入直接进行安装
37. ENV DEBIAN_FRONTEND=noninteractive
38. RUN apt-get -y install nginx php  php-fpm net-tools supervisor curl php-mysql php-common php-gd php-cli
39. COPY nginx.conf /etc/nginx/nginx.conf
40. ### webui是web页面的压缩包，需要环境：php、MySQL（默认是MySQL5.7）
41. ADD webui_v1.7b1.tar /usr/local/nginx
42. RUN mkdir /run/php ; chown www-data:www-data /run/php
43. # Install mysql
44. RUN apt-get update;apt-get install mysql-server -y
45. COPY tac_plus.sql /usr/local/nginx/tac_plus.sql
46. COPY start.sh /usr/local/nginx/start.sh
47. CMD ["/usr/bin/supervisord", "-c", "/etc/supervisor/conf.d/supervisord.conf"]

复制代码

2、提供 Dockerfile相干配置文件

以下文件都在/opt/tacacs 目次下
.google_authenticator文件获取

1. #  安装
2. apt-get install libpam-google-authenticator -y
4. # 生成 Google Authenticator 密钥
5. google-authenticator
6. ##### 以下是输出内容
7. Do you want authentication tokens to be time-based (y/n) y
8. Warning: pasting the following URL into your browser exposes the OTP secret to Google:
9.   https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@template%3Fsecret%3DB4BFA57AJCLCZT2SIQLVBWJWFY%26issuer%3Dtemplate
10. # 下面是一个二维码的图片                                                   
11. Your new secret key is: B4BFA57AJCLCZT2SIQLVBWJWFY
12. Enter code from app (-1 to skip): -1
13. Code confirmation skipped
14. Your emergency scratch codes are:
15.   22392718
16.   78251317
17.   47207995
18.   37394412
19.   76581106
21. Do you want me to update your "/root/.google_authenticator" file? (y/n) y
23. Do you want to disallow multiple uses of the same authentication
24. token? This restricts you to one login about every 30s, but it increases
25. your chances to notice or even prevent man-in-the-middle attacks (y/n) y
27. By default, a new token is generated every 30 seconds by the mobile app.
28. In order to compensate for possible time-skew between the client and the server,
29. we allow an extra token before and after the current time. This allows for a
30. time skew of up to 30 seconds between authentication server and client. If you
31. experience problems with poor time synchronization, you can increase the window
32. from its default size of 3 permitted codes (one previous code, the current
33. code, the next code) to 17 permitted codes (the 8 previous codes, the current
34. code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
35. between client and server.
36. Do you want to do so? (y/n) y
38. If the computer that you are logging into isn't hardened against brute-force
39. login attempts, you can enable rate-limiting for the authentication module.
40. By default, this limits attackers to no more than 3 login attempts every 30s.
41. Do you want to enable rate-limiting? (y/n) y
43. ## 把生成的配置文件拿过来
44. mv /root/.google_authenticator .

复制代码

tac_plus.conf 文件

1. cat tac_plus.conf
2. key = "tacacs123" #tacacs?key
3. accounting syslog;
4. accounting file = /var/log/tacacs_accounting.log   #tail -f /var/log/tacacs_accounting.log
5. default authentication = file /etc/passwd
8. acl = network_admin {
9.         # allow access from all sources
10.         #permit = ^10\.
11.         permit =  ^115\.
12.         permit = [0-9]{1,3}\.
13.         # implicit deny (ie: anything else)
14. }
17. group = admin {
18.     default service = permit
19.     acl = network_admin
20.     service = exec {
21.          priv-lvl = 15
22.     }
23.     cmd = display {
24.         permit .*
25.     }
26. }
27. group = operator {
28.     acl = network_admin
29.     service = exec {
30.          priv-lvl = 1
31.     }
32.     cmd = display {
33.         permit .*
34.     }
35.     cmd = show {
36.         permit .*
37.     }
38. }
39. group = ro {
40.     acl = network_admin
41.     service = exec {
42.          priv-lvl = 15
43.     }
44.     cmd = display {
45.         permit .*
46.     }
47.     cmd = show {
48.         permit .*
49.     }
50.     cmd = interface {
51.         permit .*
52.     }
53.     cmd = undo {
54.         permit shutdown
55.     }
56.     cmd = configure {
57.         permit .*
58.     }
59.     cmd = no {
60.         permit shutdown
61.     }
62.     cmd = exit {
63.         permit .*
64.     }
65.     cmd = quit {
66.         permit .*
67.     }
68.     cmd = screen-length {
69.         permit .*
70.     }
71.     cmd = terminal {
72.         permit .*
73.     }
74.     cmd = set {
75.         permit cli.*
76.     }
77.     cmd = ping {
78.         permit .*
79.     }
80.     cmd = tracert {
81.         permit .*
82.     }
83.     cmd = admin {
84.         permit show
85.     }
86.     cmd = shutdown {
87.         permit .*
88.     }
89. }
91. user = chen_admin {                 #chen_admin：账号
92.     login = des aPzSgJMfBUGB2  #使用 tac_pwd，生成账号密码：7FLiiVJUDhin2
93.     # expires = "Feb 20 2032"
94.     member = admin                 #权限
95. }
97. user = chen_ro {
98.     login = des temjCCsjBECmU
99.     # expires = "Feb 20 2032"
100.     member = ro                      #权限
101. }

复制代码

supervisord.conf 配置文件

1. cat > supervisord.conf << EOF
2. [supervisord]
3. nodaemon=true
5. [program:nginx]
6. command=nginx
7. autostart=true
8. autorestart=true
10. [program:php-fpm]
11. command=/usr/sbin/php-fpm7.2 --nodaemonize --fpm-config /etc/php/7.2/fpm/php-fpm.conf
12. autostart=true
13. autorestart=true
15. [program:tac_plus]
16. command=tac_plus -G -C /etc/tacacs+/tac_plus.conf
17. autostart=true
18. autorestart=true
20. [program:mysql]
21. command=service mysql start
22. autostart=true
23. autorestart=true
25. [program:mysql-import]
26. command=/bin/bash /usr/local/nginx/start.sh
27. autostart=true
28. autorestart=true
29. EOF
31. #### 在webui解压之后需要把其中的 tac_plus.sql 导入到数据库中
32. #### 执行的前提是：MySQL服务已经启动
33. cat start.sh
34. #!/bin/bash
35. echo "Waiting for MySQL to be ready..."
36. while ! mysqladmin ping -h localhost -u root --silent; do
37.     sleep 1
38. done
39. echo "MySQL is ready, importing data..."
40. mysql -uroot < /usr/local/nginx/tac_plus.sql

复制代码

tac_plus.sql

这里必要注意：webui压缩包中提供的tac_plus.sql必要修改，下面是已经修改好的内容
上传到 /opt/tacacs 即可
nginx.conf文件

1. cat nginx.conf
2. user www-data;
3. worker_processes auto;
4. pid /run/nginx.pid;
5. include /etc/nginx/modules-enabled/*.conf;
6. events {
7.         worker_connections 768;
8. }
9. http {
10.         sendfile on;
11.         tcp_nopush on;
12.         tcp_nodelay on;
13.         keepalive_timeout 65;
14.         types_hash_max_size 2048;
15.         include /etc/nginx/mime.types;
16.         default_type application/octet-stream;
17.         ssl_prefer_server_ciphers on;
18.         access_log /var/log/nginx/access.log;
19.         error_log /var/log/nginx/error.log;
20.         gzip on;
22.         server {
23.                 listen 81;
24.                 server_name  localhost;
25.         
26.                 location / {
27.                         root   /usr/local/nginx;
28.                         index  index.php index.html index.htm;
29.                 }
30.         
31.                 location ~ \.php$ {
32.                         root           /usr/local/nginx;
33.                         fastcgi_pass   unix:/var/run/php/php7.2-fpm.sock;
34.                         fastcgi_index  index.php;
35.                         fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
36.                         include        fastcgi_params;
37.                 }
38.         
39.                 error_page   500 502 503 504  /50x.html;
40.                 location = /50x.html {
41.                         root   html;
42.                 }
43.         }
46.         include /etc/nginx/conf.d/*.conf;
47.         #include /etc/nginx/sites-enabled/*;
48. }

复制代码

3、构建镜像

1. docker build -t tacacs:v1 .
3. docker images
4. REPOSITORY   TAG       IMAGE ID       CREATED          SIZE
5. tacacs       v1        9d57b17b34a1   19 seconds ago   572MB

复制代码

4、运行

1. docker run -td --name tacplus -p 30080:81 -v /opt/tacacs/tac_plus.conf:/etc/tacacs+/tac_plus.conf  -v /opt/tacacs/nginx.conf:/etc/nginx/nginx.conf  tacacs:v1

复制代码

5、查看

默认用户名密码：admin/system 这个是由 tac_plus.sql 中语句指定的，可以自己修改
Client ACL：用于设置ip访问tac_plus server的权限

NAS ACL: 用于设置用户和组的权限
Attributes：用于设置不同厂商交换机的权限级别的属性

Commands: 用于设置命令分类

Nas：添加交换机路由器的管理ip
Nas Group：添加交换机分组（类似nas）
Users：添加用户
User Group：添加用户组(类似user)
Vendor：交换机厂商管理
Reports:可以查看aaa登录审计等日志信息
2.3 各文件阐明

1、Dockerfile文件阐明

1. # 基础镜像
2. FROM ubuntu:18.04
3. # 作者
4. MAINTAINER Alyssa
5. # 更新
6. RUN apt-get update && apt-get upgrade -y
7. # 安装 tacacs+ and Google Authenticator
8. RUN apt-get install tacacs+ libpam-google-authenticator -y
9. # 清除本地repo
10. RUN apt-get clean
11. # 创建一个user
12. RUN useradd -m -d /home/andrew -s /bin/bash andrew
13. # 修改密码
14. RUN echo "andrew:test" | chpasswd
15. # 把密钥文件复制到镜像的指定目录下
16. COPY .google_authenticator /home/andrew
17. # Change file owner
18. RUN chown andrew:andrew /home/andrew/.google_authenticator
19. # Copy tac_plus configuration file from host to the container
20. COPY tac_plus.conf /etc/tacacs+/tac_plus.conf
21. # Add tac_plus PAM
22. RUN touch /etc/pam.d/tac_plus
23. RUN echo auth requisite pam_google_authenticator.so forward_pass >> /etc/pam.d/tac_plus
24. RUN echo auth required pam_unix.so use_first_pass >> /etc/pam.d/tac_plus
25. #### 在Dockerfile中，想要实现启动多个服务，可以使用 Supervisor，直接使用apt安装即可
28. COPY supervisord.conf /etc/supervisor/conf.d/supervisord.conf
29. ENV TZ=Asia/Shanghai
30. #### 配置变量 DEBIAN_FRONTEND ，可以使以下安装不需要输入直接进行安装
31. ENV DEBIAN_FRONTEND=noninteractive
32. ### 想要webui启动服务，需要安装nginx, php-fpm，MySQL
33. RUN apt-get -y install nginx php  php-fpm net-tools supervisor curl php-mysql php-common php-gd php-cli
34. COPY nginx.conf /etc/nginx/nginx.conf
35. ### webui是web页面的压缩包，需要环境：php、MySQL（默认是MySQL5.7）
36. ADD webui_v1.7b1.tar /usr/local/nginx
37. RUN mkdir /run/php ; chown www-data:www-data /run/php
38. # 安装 mysql 5.7
39. RUN apt-get update;apt-get install mysql-server -y
40. COPY tac_plus.sql /usr/local/nginx/tac_plus.sql
41. COPY start.sh /usr/local/nginx/start.sh
42. CMD ["/usr/bin/supervisord", "-c", "/etc/supervisor/conf.d/supervisord.conf"]

复制代码

2、supervisord.conf

Supervisor简朴阐明：

• Supervisor 是一个客户端/服务器系统，允许其用户监视和控制类似UNIX的操纵系统上的多个历程。
  
• Supervisor 是用 Python 开发的一套通用的历程管理程序，能将一个普通的命令行历程变为后台daemon，并监控历程状态，异常退出时能自动重启。
  
• 它是通过fork/exec的方式把这些被管理的历程当作supervisor的子历程来启动，如许只要在supervisor的配置文件中，把要管理的历程的可执行文件的路径写进去即可。也实现当子历程挂掉的时候，父历程可以准确获取子历程挂掉的信息的，可以选择是否自己启动和报警。supervisor还提供了一个功能，可以为supervisord或者每个子历程，设置一个非root的user，这个user就可以管理它对应的历程
  

在这里要阐明的是文件中的配置：

1. [program:mysql-import]
2. command=/bin/bash /usr/local/nginx/start.sh
3. autostart=true
4. autorestart=true
5. ### 这部分的功能是在MySQL启动之后，把webui的sql导入到MySQL中，所以在shell脚本中，监控到服务启动执行再执行

复制代码

3、nginx.conf

webui的情况是nginx、PHP、MySQL，以是在 nginx.conf中举行配置

1.         include /etc/nginx/conf.d/*.conf;
2.         #include /etc/nginx/sites-enabled/*;
3. # 在这里注意的是，需要注释下面这个 include，这个目录下定义了一个默认的server，端口是80，与我们安装的环境的Apache2冲突，导致报错。所以这里直接注销掉。

复制代码

2.4 扩展：Ubuntu18.4 上安装MySQL8.0

1. # 1、安装必要的软件包
2. sudo apt install dirmngr ca-certificates software-properties-common apt-transport-https curl lsb-release -y
4. # 2、将 GPG 密钥和仓库导入到 Ubuntu 系统
5. curl -fsSL http://repo.mysql.com/RPM-GPG-KEY-mysql-2022 | sudo gpg --dearmor | sudo tee /usr/share/keyrings/mysql.gpg > /dev/null
7. # 3、导入 MySQL 8.0 仓库
8. echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/mysql.gpg] http://repo.mysql.com/apt/ubuntu $(lsb_release -cs) mysql-8.0" | sudo tee -a /etc/apt/sources.list.d/mysql.list
10. # 4、（可选）如果您是开发人员或具有特定需求，可以选择导入 MySQL 源代码仓库
11. echo "deb-src [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/mysql.gpg] http://repo.mysql.com/apt/ubuntu $(lsb_release -cs) mysql-8.0" | sudo tee -a /etc/apt/sources.list.d/mysql.list
14. # 5、（可选）开发人员还可以使用以下命令导入 MySQL 工具仓库
15. echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/mysql.gpg] http://repo.mysql.com/apt/ubuntu $(lsb_release -cs) mysql-tools" | sudo tee -a /etc/apt/sources.list.d/mysql.list
16. echo "deb-src [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/mysql.gpg] http://repo.mysql.com/apt/ubuntu $(lsb_release -cs) mysql-tools" | sudo tee -a /etc/apt/sources.list.d/mysql.list
18. # 6、更新。如果提示需要导入key，可添加参数：--allow-insecure-repositories 认为仓库是安全的，不需要提供key凭证
19. sudo apt update
21. # 7、安装 MySQL 8.0
22. sudo apt install mysql-community-server
24. #### 其他的配置和正常的安装MySQL8就一样了

复制代码

结论

• tacacs++ 在Ubuntu20.04之后默认不支持，以是使用Ubuntu18.04举行安装，或者在Ubuntu22.04使用源码包安装（源码包暂时未找到，有知道所在的欢迎留言）
  
• 在打包 tacacs++ 镜像时，可根据自己的必要举行修改
  
• webui的情况是LNMP，MySQL版本最好是5.7
  
• 在把webui中的sql文件导入数据库时，有内容必要修改，注意不能在打包镜像时直接执行。
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4