Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- ne:lv_pronesy [2022/02/24 06:50] – angelegt admin
+++ ne:lv_pronesy [2025/01/14 08:29] (aktuell) – [Inhalt] admin
@@ Zeile 1: / Zeile 1: @@
-====== Projekt Netzbasierte Systeme (ProNeSy) ======
+====== Projekt Rechnernetze ======
+===== Automatische Konfiguration eines Labor-Routers mit Ansible und TACACS sowie automtische Überprüfung der Konfiguration mit PyATS =====
+==== Organisation ====
-==== Gruppenarbeit ====
+=== Gruppenarbeit ===
   * [[https://www.spiegel.de/start/studium-wie-man-gruppenarbeit-uebersteht-ohne-verrueckt-zu-werden-a-658585e5-9ab9-4b2f-bd7d-080cba72aec9|Wie man eine Gruppenarbeit übersteht, ohne verrückt zu werden (Spiegel.de)]]
+=== Tools ===
-==== Tools ====
   * https://retrotool.io/ - **Feedback einholen**
+----
+==== Inhalt ====
+=== TACACS ===
+<cli>
+aaa new-model
+!
+aaa authentication login default group tacacs+ local
+aaa authentication login CONSOLE none
+aaa authorization config-commands
+aaa authorization exec default group tacacs+ local
+aaa authorization commands 15 default group tacacs+ local
+!
+line con 0
+ login authentication CONSOLE
+</cli>
+Konfiguration: ''/etc/tacacs/tac_plus.conf''
+<cli>
+# The TACASC shared-secret
+key = labtacacskey
+# A full admin user called 'tacacs'
+user = tacacs {
+    # allows everything that is not forbidden
+    default service = permit
+    # Create a DES encrypted password 'password' with the `tac_pwd` command
+    login = des Oy6FGC2LNE6ao
+    # Create a cleartext password
+    #login = cleartext cisco
+    # Set priv 15 for user
+    service = exec {
+        priv-lvl = 15
+	}
+    cmd = show {
+        # deny show running-config, allow everything else (just a test)
+	deny running-config
+	}
+    cmd = interface {
+	deny "GigabitEthernet 0/1/0"
+	permit "GigabitEthernet 0/0/1"
+	permit "GigabitEthernet 0/0/0"
+	}
+}
+</cli>
+== TACACS Server ==
+  * https://shrubbery.net/tac_plus/
+  * https://github.com/facebook/tac_plus
+  * https://freebsd.pkgs.org/13/freebsd-aarch64/tac_plus-F4.0.4.28.pkg.html
+Tacacs starten:
+<code bash>
+sudo tac_plus -C /etc/tacacs/tac_plus.conf -d 8 -d 16 -l /var/log/tac_plus.log
+</code>
+Tacacs beenden (vor Neustart):
+<code bash>
+ps -aux | grep tac
+sudo killall tac_plus
+</code>
+== Ansible auf Raspberry-Pi ==
+Paramiko installieren (ansible-pylibssh ist nicht in den Paketquellen):
+<code bash>
+apt install python3-paramiko
+</code>
+<code bash>
+ansible-playbook -i inventory backup_router.yml
+</code>
+== Links ==
+  * [[https://github.com/hpreston/rpi-networklab/blob/main/tacacs-server.md|Using a Raspberry Pi as a TACACS Server]]
+  * [[https://www.cisco.com/c/en/us/support/docs/security/secure-access-control-server-unix/4104-8.html|Command Authorization and Privilege Levels for Cisco]]
+  * [[https://community.cisco.com/t5/network-access-control/tacacs-restrict-enable-mode/td-p/2910253|TACACs+ Restrict enable mode]]