TACACS+ Comware 5 und Comware 7

Auf HP Switchen kommt HWTACACS (Huawei TACACS) zum Einsatz, das mit dem vom DoD entwickelten TACACS, und auch der von CISCO erweiterten Variante TACACS+, weitgehend kompatibel ist. Ich konnte zumindest bisher keinerlei Einschränkungen in der Funktionalität feststellen.

Folgende Änderungen, bzw. Ergänzungen an der Switchkonfiguration sind notwendig:
hwtacacs scheme TACTest
  primary authentication 1.2.3.4
  secondary authentication 3.4.5.6
  primary authorization 1.2.3.4
  secondary authorization 3.4.5.6
  primary accounting 1.2.3.4
  secondary accounting 3.4.5.6
  key authentication cipher $c$3$Psk9KMoEgHu6ZxOYYDKjU2sOO3Oz++4oW9fxyX8=
  key authorization cipher $c$3$OqBDh9urtgVGY7Zo1zx0MuQo3OAk1citIQuNkHo=
  key accounting cipher $c$3$p2anTU5pJyMrefMQqQjP5FpeuYul0tdpnIHbkxg=
  user-name-format without-domain

domain TACTest
  authentication default hwtacacs-scheme TACTest local
  authorization default hwtacacs-scheme TACTest local
  accounting default hwtacacs-scheme TACTest local

line vty 0 63
  authentication-mode scheme
  user-role network-operator
  command authorization
  command accounting

domain default enable TACTest
Die Zeilen 1-11 definieren ein TACACS Schema mit dem Namen TACTest. Hierbei werden der, bzw. die TACACS Server für die einzelnen Funktionsbereiche Authentication, Authorization und Accounting definiert. Die entsprechenden crypted Keys werden in den Zeilen 8-10 definiert und müssen dem Shared-Secret in der TACACS+ Konfiguration entsprechen. Zeile 11 bewirkt, dass der nackte Benutzername ohne jegliche Domainerweiterung verwendet wird.

In den Zeilen 13-16 wird eine Domain erzeugt und die AAA Verfahren mit dem TACACS Schema verknüpft. Wichtig ist hierbei der String "local" am Ende der Zeile. Dieser bewirkt, dass, sollte der/die TACACS+ Server nicht erreichbar sein, die Anmeldung gegen die lokale Benutzerdatenbank des Switches erfolgt. Im Klartext bedeutet dies, dass bei einem Ausfall des/der TACACS+ Server der/die Einträge die mit "local-user" direkt auf dem Switch angelegt wurden, verwendet werden. Dass der/die Fallback- Accounts mit einem entsprechend komplexen Kennwort versehen sein sollten, versteht sich von selbst.

Die Zeilen 18-22 aktivieren AAA (authentication-mode scheme) für alle VTYs und sorgen dafür, dass die Protokollierung aller eingegebenen Befehle (command authorization), sowie das Accounting (command accounting) aktiviert werden. In Zeile 18 liegt der einzige Unterschied zwischen Comware 5 und Comware 7. Bei Comware 5 lautet der Name des Kontext "user-interface vty 0 15"; Comware 7 hingegen verwendet "line vty 0 15".

Die Zeile 24 aktiviert letztendlich die TACACS+ AAA Funktionalität und schaltet AAA scharf.

Auf einen "Fallstrick" beim Testen möchte ich noch hinweisen: Der Fallback auf die lokale Authentifizierung findet erst dann statt, wenn der TACACS Server nicht erreichbar ist!!! Ist er erreichbar ist eine Anmeldung ausschließlich mit den TACACS Anmeldedaten möglich.