# Déploiement pratique de TACACS.NET sur Windows pour la gestion des équipements réseau Eltex
Le déploiement de TACACS.NET sur un serveur Windows permet un contrôle d'accès centralisé pour les équipements réseau Eltex. Contrairement aux solutions obsolètes comme Cisco ACS 4.2, cette implémentation moderne offre une configuration flexible des privilèges et une intégration avec les appareils via le protocole standard TACACS+. Cet article fournit un guide détaillé de configuration du serveur, incluant le contournement des limites de licence et l'ajustement fin des droits d'accès pour les opérateurs et les administrateurs.
Architecture de configuration de TACACS.NET
TACACS.NET utilise une approche modulaire pour la configuration via des fichiers XML, ce qui nécessite de comprendre les interconnexions entre les composants. Fichiers de configuration clés :
tacplus.xml— paramètres globaux du serveurclients.xml— définitions des clients appareils réseauauthentication.xml— gestion des comptes utilisateursauthorization.xml— liaison des droits d'accès aux rôles
Il est important de noter que contrairement aux implémentations TACACS+ sous Linux, où tous les paramètres sont dans un seul fichier, ici plusieurs fichiers de configuration doivent être synchronisés. Cela ajoute de la complexité à la configuration initiale mais offre une flexibilité pour gérer des scénarios d'accès complexes.
Paramètres critiques pour le démarrage
Avant de commencer la configuration, déterminez :
- Interface réseau du serveur et adresse IP (par ex., 172.16.1.111)
- Clé secrète pour l'interaction avec les appareils (une clé simple est recommandée en environnement de test)
- Structure des rôles : opérateur (niveau 9) et administrateur (niveau 15)
- Liste des commandes disponibles à chaque niveau de privilège
Installation et configuration initiale
L'installation de TACACS.NET 2.1.2 nécessite Windows Server 2008 ou ultérieur. Le processus comprend :
- Exécution de l'installeur en acceptant les paramètres par défaut
- Spécification de la clé secrète (par ex., 12345678)
- Vérification du statut du service dans les Services Windows
Après l'installation, les fichiers de configuration sont placés dans le répertoire caché C:\ProgramData\TACACS.net. Pour les modifier :
- Ouvrir les fichiers dans le Bloc-notes en tant qu'administrateur
- Supprimer l'attribut « lecture seule »
- Enregistrer les modifications en encodage UTF-8
Configuration de l'interface réseau
Dans le fichier tacplus.xml, modifiez le paramètre <BindAddress> pour l'adresse IP locale du serveur :
<BindAddress>172.16.1.111</BindAddress>
Ceci est critique pour une interaction correcte avec les appareils réseau. Une adresse incorrecte entraînera l'échec du service au démarrage avec une erreur « Cannot bind to address ».
Synchronisation des fichiers de configuration
Le défi principal est l'alignement des paramètres entre les fichiers. Utilisez le schéma suivant :
- Dans
clients.xml, créez un groupe INTERNAL avec les paramètres :
<ClientGroup name="INTERNAL">
<Client address="172.16.1.0/24" key="12345678" />
</ClientGroup>
- Dans
authentication.xml, définissez les groupes d'utilisateurs :
<UserGroup name="OPERATOR">
<User name="user9" password="password" />
</UserGroup>
<UserGroup name="ADMINISTRATOR">
<User name="admin" password="GwJQb6xe9+C8Ysosigs5OQ==" />
</UserGroup>
- Dans
authorization.xml, liez les groupes aux niveaux de privilège :
<Authorization>
<UserGroup name="OPERATOR">
<AutoExec priv-lvl="9" />
</UserGroup>
<UserGroup name="ADMINISTRATOR">
<AutoExec priv-lvl="15" />
</UserGroup>
</Authorization>
Test de la configuration
Après les modifications, effectuez :
- Vérification de la syntaxe via
tacverify - Redémarrage du service TACACS.NET
- Test de connexion via
tactest
Exemple de commande pour vérification :
tactest -s 172.16.1.111 -k 12345678 -u user9 -author -p password
Une réponse correcte doit inclure :
Authorization Status=PassAdd
Args: priv-lvl=9
Erreurs courantes et solutions
- Le service ne démarre pas : Vérifiez la correction de l'IP dans
tacplus.xmlet assurez-vous que les sections utilisateur ne sont pas commentées - Niveau de privilège incorrect : Vérifiez la synchronisation des groupes dans
authorization.xmletauthentication.xml - Erreurs de chiffrement de mot de passe : Utilisez l'utilitaire
tacdespour générer des hachages DES
Intégration avec les équipements Eltex
Pour les routeurs ESR, appliquez cette configuration :
privilege root level 9 "show running-config"
aaa authentication login default tacacs local
tacacs-server host 172.16.1.111 key ascii-text 12345678
Pour les commutateurs MES :
privilege exec 9 show running-config
privilege exec 10 configure
tacacs-server host 172.16.1.111 key 12345678
aaa authentication login authorization default tacacs local
Important : La commande privilege exec 10 configure déplace le mode de configuration à un niveau supérieur à 9, bloquant l'accès des opérateurs.
Contournement des restrictions de licence
La version standard est limitée à 5 appareils et 3 utilisateurs. Pour étendre les limites :
- Générez un fichier de licence à l'aide de l'outil officiel
- Placez le fichier dans
C:\ProgramData\TACACS.net\license - Redémarrez le service
Alternative pour les environnements de test :
- Créez des groupes de clients supplémentaires dans
clients.xml - Utilisez une seule adresse IP avec différentes clés secrètes
- Configurez les équipements pour utiliser des clés différentes
Points clés
- Synchronisation de la clé : La clé secrète doit correspondre dans
clients.xml, les paramètres des appareils et la commande tactest - Niveaux de privilège : Les équipements Eltex nécessitent une spécification explicite des commandes via
privilegedans la configuration - Vérification tactest : Étape obligatoire avant de connecter du matériel réel
- Chiffrement des mots de passe : Utilisez tacdes pour un stockage sécurisé des identifiants
- Journalisation : Surveillez les fichiers dans
C:\ProgramData\TACACS.net\Logspour le dépannage
Conclusion
Le déploiement de TACACS.NET sur Windows fournit une solution flexible pour gérer l'accès aux équipements réseau. Le succès repose sur la compréhension des interconnexions entre les fichiers de configuration et la vérification rigoureuse de chaque paramètre avec les utilitaires intégrés. Cette approche permet de créer un environnement de test fiable pour les scénarios d'authentification et d'autorisation, répondant aux besoins des infrastructures réseau modernes.
— Editorial Team
Aucun commentaire pour le moment.