Zurück zur Startseite

Einrichtung von TACACS.NET unter Windows für Eltex-Netzwerkgeräte | Anleitung

Praktischer Leitfaden zur Bereitstellung von TACACS.NET auf Windows Server für Zugriffskontrolle auf Eltex-Geräte. Detaillierte Einrichtung der Konfigurationsdateien, Behebung von Lizenzproblemen und Testen über tactest.

Praktischer Leitfaden: TACACS.NET unter Windows für Netzwerksicherheit
Advertisement 728x90

# # Praktische Bereitstellung von TACACS.NET unter Windows zur Verwaltung von Eltex-Netzwerkgeräten

Die Bereitstellung von TACACS.NET auf einem Windows-Server ermöglicht eine zentrale Zugriffssteuerung für Eltex-Netzwerkgeräte. Im Gegensatz zu veralteten Lösungen wie Cisco ACS 4.2 bietet diese moderne Implementierung flexible Berechtigungsaufbauten und Integration mit Geräten über das Standard-TACACS+-Protokoll. Dieser Artikel gibt eine detaillierte Anleitung zur Serverkonfiguration, einschließlich Umgehung von Lizenzlimits und Feinabstimmung der Zugriffsrechte für Operatoren und Administratoren.

TACACS.NET-Konfigurationsarchitektur

TACACS.NET verwendet einen modularen Ansatz für die Konfiguration über XML-Dateien, was das Verständnis der Verknüpfungen zwischen den Komponenten erfordert. Wichtige Konfigurationsdateien:

  • tacplus.xml — globale Serverparameter
  • clients.xml — Definitionen der Netzwerkgeräte-Clients
  • authentication.xml — Benutzerverwaltung
  • authorization.xml — Zuordnung von Zugriffsrechten zu Rollen

Wichtig: Im Gegensatz zu Linux-TACACS+-Implementierungen, bei denen alle Parameter in einer einzigen Datei stehen, müssen hier mehrere Konfigurationsdateien synchronisiert werden. Das erhöht die Komplexität beim Initialsetup, bietet aber Flexibilität für anspruchsvolle Zugriffsszenarien.

Google AdInline article slot

Kritische Parameter für den Start

Vor der Konfiguration festlegen:

  • Netzwerkschnittstelle und IP-Adresse des Servers (z. B. 172.16.1.111)
  • Secret Key für die Geräteinteraktion (in Testumgebungen ein einfacher Key empfohlen)
  • Rollensstruktur: Operator (Level 9) und Administrator (Level 15)
  • Liste der Befehle pro Berechtigungsstufe

Installation und Initialsetup

Die Installation von TACACS.NET 2.1.2 erfordert Windows Server 2008 oder neuer. Der Prozess umfasst:

  • Ausführen des Installers mit Standardparametern
  • Festlegen des Secret Keys (z. B. 12345678)
  • Überprüfen des Dienststatus in den Windows-Diensten

Nach der Installation werden die Konfigurationsdateien im versteckten Verzeichnis C:\ProgramData\TACACS.net abgelegt. Zum Bearbeiten:

Google AdInline article slot
  • Dateien als Administrator in Notepad öffnen
  • "Nur Lesen"-Attribut entfernen
  • Änderungen in UTF-8-Kodierung speichern

Einrichtung der Netzwerkschnittstelle

In der Datei tacplus.xml den Parameter <BindAddress> auf die lokale IP-Adresse des Servers ändern:

<BindAddress>172.16.1.111</BindAddress>

Dies ist entscheidend für die korrekte Interaktion mit Netzwerkgeräten. Eine falsche Adresse führt zu einem Dienststartfehler "Cannot bind to address".

Synchronisation der Konfigurationsdateien

Die größte Herausforderung ist die Abstimmung der Parameter über Dateien hinweg. Verwenden Sie folgendes Schema:

Google AdInline article slot
  • In clients.xml eine INTERNAL-Gruppe mit Parametern erstellen:
<ClientGroup name="INTERNAL">
  <Client address="172.16.1.0/24" key="12345678" />
</ClientGroup>
  • In authentication.xml Benutzergruppen definieren:
<UserGroup name="OPERATOR">
  <User name="user9" password="password" />
</UserGroup>

<UserGroup name="ADMINISTRATOR">
  <User name="admin" password="GwJQb6xe9+C8Ysosigs5OQ==" />
</UserGroup>
  • In authorization.xml Gruppen an Berechtigungsstufen binden:
<Authorization>
  <UserGroup name="OPERATOR">
    <AutoExec priv-lvl="9" />
  </UserGroup>
  <UserGroup name="ADMINISTRATOR">
    <AutoExec priv-lvl="15" />
  </UserGroup>
</Authorization>

Testen der Konfiguration

Nach Änderungen durchführen:

  • Syntaxprüfung über tacverify
  • Neustart des TACACS.NET-Dienstes
  • Testverbindung über tactest

Beispielbefehl zur Überprüfung:

tactest -s 172.16.1.111 -k 12345678 -u user9 -author -p password

Eine korrekte Antwort sollte enthalten:

Authorization Status=PassAdd
Args: priv-lvl=9

Häufige Fehler und Lösungen

  • Dienst startet nicht: IP in tacplus.xml prüfen und sicherstellen, dass Benutzerabschnitte auskommentiert sind
  • Falsche Berechtigungsstufe: Gruppensynchronisation in authorization.xml und authentication.xml überprüfen
  • Passwortverschlüsselungsfehler: tacdes-Utility zur Generierung von DES-Hashes nutzen

Integration mit Eltex-Geräten

Für ESR-Router diese Konfiguration anwenden:

privilege root level 9 "show running-config"
aaa authentication login default tacacs local
tacacs-server host 172.16.1.111 key ascii-text 12345678

Für MES-Switches:

privilege exec 9 show running-config
privilege exec 10 configure
tacacs-server host 172.16.1.111 key 12345678
aaa authentication login authorization default tacacs local

Wichtig: Der Befehl privilege exec 10 configure verschiebt den Konfigurationsmodus auf eine Stufe über 9 und blockiert so den Operatorzugriff.

Umgehung von Lizenzbeschränkungen

Die Standardversion ist auf 5 Geräte und 3 Benutzer beschränkt. Zur Erweiterung:

  • Lizenzdatei mit dem offiziellen Tool generieren
  • Datei in C:\ProgramData\TACACS.net\license ablegen
  • Dienst neu starten

Alternative für Testumgebungen:

  • Zusätzliche Client-Gruppen in clients.xml erstellen
  • Eine IP-Adresse mit unterschiedlichen Secret Keys verwenden
  • Geräte für unterschiedliche Keys konfigurieren

Wichtige Punkte

  • Key-Synchronisation: Der Secret Key muss in clients.xml, Geräteeinstellungen und tactest-Befehl übereinstimmen
  • Berechtigungsstufen: Eltex-Geräte erfordern explizite Befehlsangabe über privilege in der Konfig
  • tactest-Überprüfung: Obligatorischer Schritt vor Anschluss echter Geräte
  • Passwortverschlüsselung: tacdes für sichere Credentials verwenden
  • Logging: Dateien in C:\ProgramData\TACACS.net\Logs für Fehlerbehebung überwachen

Fazit

Die Bereitstellung von TACACS.NET unter Windows bietet eine flexible Lösung zur Zugriffsverwaltung für Netzwerkgeräte. Der Erfolg hängt vom Verständnis der Verknüpfungen zwischen Konfigurationsdateien und der rigorosen Überprüfung jeder Einstellung mit den integrierten Utilities ab. Dieser Ansatz schafft eine zuverlässige Testumgebung für Authentifizierungs- und Autorisierungsszenarien und erfüllt die Anforderungen moderner Netzwerkinfrastrukturen.

— Editorial Team

Advertisement 728x90

Weiterlesen