# # Praktische Bereitstellung von TACACS.NET unter Windows zur Verwaltung von Eltex-Netzwerkgeräten
Die Bereitstellung von TACACS.NET auf einem Windows-Server ermöglicht eine zentrale Zugriffssteuerung für Eltex-Netzwerkgeräte. Im Gegensatz zu veralteten Lösungen wie Cisco ACS 4.2 bietet diese moderne Implementierung flexible Berechtigungsaufbauten und Integration mit Geräten über das Standard-TACACS+-Protokoll. Dieser Artikel gibt eine detaillierte Anleitung zur Serverkonfiguration, einschließlich Umgehung von Lizenzlimits und Feinabstimmung der Zugriffsrechte für Operatoren und Administratoren.
TACACS.NET-Konfigurationsarchitektur
TACACS.NET verwendet einen modularen Ansatz für die Konfiguration über XML-Dateien, was das Verständnis der Verknüpfungen zwischen den Komponenten erfordert. Wichtige Konfigurationsdateien:
tacplus.xml— globale Serverparameterclients.xml— Definitionen der Netzwerkgeräte-Clientsauthentication.xml— Benutzerverwaltungauthorization.xml— Zuordnung von Zugriffsrechten zu Rollen
Wichtig: Im Gegensatz zu Linux-TACACS+-Implementierungen, bei denen alle Parameter in einer einzigen Datei stehen, müssen hier mehrere Konfigurationsdateien synchronisiert werden. Das erhöht die Komplexität beim Initialsetup, bietet aber Flexibilität für anspruchsvolle Zugriffsszenarien.
Kritische Parameter für den Start
Vor der Konfiguration festlegen:
- Netzwerkschnittstelle und IP-Adresse des Servers (z. B. 172.16.1.111)
- Secret Key für die Geräteinteraktion (in Testumgebungen ein einfacher Key empfohlen)
- Rollensstruktur: Operator (Level 9) und Administrator (Level 15)
- Liste der Befehle pro Berechtigungsstufe
Installation und Initialsetup
Die Installation von TACACS.NET 2.1.2 erfordert Windows Server 2008 oder neuer. Der Prozess umfasst:
- Ausführen des Installers mit Standardparametern
- Festlegen des Secret Keys (z. B. 12345678)
- Überprüfen des Dienststatus in den Windows-Diensten
Nach der Installation werden die Konfigurationsdateien im versteckten Verzeichnis C:\ProgramData\TACACS.net abgelegt. Zum Bearbeiten:
- Dateien als Administrator in Notepad öffnen
- "Nur Lesen"-Attribut entfernen
- Änderungen in UTF-8-Kodierung speichern
Einrichtung der Netzwerkschnittstelle
In der Datei tacplus.xml den Parameter <BindAddress> auf die lokale IP-Adresse des Servers ändern:
<BindAddress>172.16.1.111</BindAddress>
Dies ist entscheidend für die korrekte Interaktion mit Netzwerkgeräten. Eine falsche Adresse führt zu einem Dienststartfehler "Cannot bind to address".
Synchronisation der Konfigurationsdateien
Die größte Herausforderung ist die Abstimmung der Parameter über Dateien hinweg. Verwenden Sie folgendes Schema:
- In
clients.xmleine INTERNAL-Gruppe mit Parametern erstellen:
<ClientGroup name="INTERNAL">
<Client address="172.16.1.0/24" key="12345678" />
</ClientGroup>
- In
authentication.xmlBenutzergruppen definieren:
<UserGroup name="OPERATOR">
<User name="user9" password="password" />
</UserGroup>
<UserGroup name="ADMINISTRATOR">
<User name="admin" password="GwJQb6xe9+C8Ysosigs5OQ==" />
</UserGroup>
- In
authorization.xmlGruppen an Berechtigungsstufen binden:
<Authorization>
<UserGroup name="OPERATOR">
<AutoExec priv-lvl="9" />
</UserGroup>
<UserGroup name="ADMINISTRATOR">
<AutoExec priv-lvl="15" />
</UserGroup>
</Authorization>
Testen der Konfiguration
Nach Änderungen durchführen:
- Syntaxprüfung über
tacverify - Neustart des TACACS.NET-Dienstes
- Testverbindung über
tactest
Beispielbefehl zur Überprüfung:
tactest -s 172.16.1.111 -k 12345678 -u user9 -author -p password
Eine korrekte Antwort sollte enthalten:
Authorization Status=PassAdd
Args: priv-lvl=9
Häufige Fehler und Lösungen
- Dienst startet nicht: IP in
tacplus.xmlprüfen und sicherstellen, dass Benutzerabschnitte auskommentiert sind - Falsche Berechtigungsstufe: Gruppensynchronisation in
authorization.xmlundauthentication.xmlüberprüfen - Passwortverschlüsselungsfehler:
tacdes-Utility zur Generierung von DES-Hashes nutzen
Integration mit Eltex-Geräten
Für ESR-Router diese Konfiguration anwenden:
privilege root level 9 "show running-config"
aaa authentication login default tacacs local
tacacs-server host 172.16.1.111 key ascii-text 12345678
Für MES-Switches:
privilege exec 9 show running-config
privilege exec 10 configure
tacacs-server host 172.16.1.111 key 12345678
aaa authentication login authorization default tacacs local
Wichtig: Der Befehl privilege exec 10 configure verschiebt den Konfigurationsmodus auf eine Stufe über 9 und blockiert so den Operatorzugriff.
Umgehung von Lizenzbeschränkungen
Die Standardversion ist auf 5 Geräte und 3 Benutzer beschränkt. Zur Erweiterung:
- Lizenzdatei mit dem offiziellen Tool generieren
- Datei in
C:\ProgramData\TACACS.net\licenseablegen - Dienst neu starten
Alternative für Testumgebungen:
- Zusätzliche Client-Gruppen in
clients.xmlerstellen - Eine IP-Adresse mit unterschiedlichen Secret Keys verwenden
- Geräte für unterschiedliche Keys konfigurieren
Wichtige Punkte
- Key-Synchronisation: Der Secret Key muss in
clients.xml, Geräteeinstellungen undtactest-Befehl übereinstimmen - Berechtigungsstufen: Eltex-Geräte erfordern explizite Befehlsangabe über
privilegein der Konfig - tactest-Überprüfung: Obligatorischer Schritt vor Anschluss echter Geräte
- Passwortverschlüsselung:
tacdesfür sichere Credentials verwenden - Logging: Dateien in
C:\ProgramData\TACACS.net\Logsfür Fehlerbehebung überwachen
Fazit
Die Bereitstellung von TACACS.NET unter Windows bietet eine flexible Lösung zur Zugriffsverwaltung für Netzwerkgeräte. Der Erfolg hängt vom Verständnis der Verknüpfungen zwischen Konfigurationsdateien und der rigorosen Überprüfung jeder Einstellung mit den integrierten Utilities ab. Dieser Ansatz schafft eine zuverlässige Testumgebung für Authentifizierungs- und Autorisierungsszenarien und erfüllt die Anforderungen moderner Netzwerkinfrastrukturen.
— Editorial Team
Noch keine Kommentare.