Нужен сервер для регистрации событий AAA ?

Question

[csergey]

Добрый день. Есть маршрутизатор Cisco 2911. Поставлена задача: Иметь AAA сервер который будет регистрировать:
1. Вход пользователя на маршрутизатор
2. Время начала и конец исполнения команды
3. Терминал, на котором подключен пользователь

Скажите это должен быть сервер либо RADIUS либо TACACS+ или возможно использовать для этих целей логсервер (по-типу logstash) ?
Или дайте совет как это лучше всего реализовать?
Дело в том что ещё нужно организовать Syslog сервер, выбор упал на logstash, теперь нужно определится с ААА-сервером

Answer 1

[Сергей Петриков]

TACACS+ - более гибкий по правам доступа и логированию действий.
RADIUS - больше распространен.
У себя и тот и тот использую, но большая часть железа на TACACS+

Comments

[csergey]

т.е. syslog server не сможет обрабатывать AAA&

[csergey]

?

[Сергей Петриков]

@csergey: Не отвечу, мне логов с TACACS+ хватает на syslog не выводил.

[csergey]

а не подскажите мануал по настройке только логирования на tacasc+ серевер.

[Сергей Петриков]

@csergey: habrahabr.ru/post/194750 тут в примере конфига лог включен.

[csergey]

подскажите, а возможно сделать так что бы просто велся лог, без настройки авторизации?

[Сергей Петриков]

@csergey: Не пробовал, вся прелесть такакса как раз в авторизации и правах для разных администраторов/операторов из единой базы с простой правкой и возможностью дать новому человеку нужные права или забрать их одновременно с тысяч устройств. Я, честно говоря, его лог не смотрел уже года 3, зачем, все разрулено на уровне прав доступа и новички и рукожопы просто не имеют возможности сломать что-то критичное. У меня критичные узлы на джунах с автоматическим бэкапом конфига при коммите на отдельный сервер с указанием того кто коммит сделал, в случае факапа смотрим крайний коммит, если надо ролбэчим.

[csergey]

а подскажите как задавать пароли юзерам tacacs?

[Сергей Петриков]

@csergey: Вот дока, конкретно для того, на который давал ссылку
www.pro-bono-publico.de/projects/tac_plus.html
Примерно так
login = crypt $1$xxxxxxxx$hDZPHghXe8XvoHeFdqUwm/
как зашифровать пароль есть в примере с хабра или читаем доку.

[csergey]

спасибо

[csergey]

Только в логи не получается вывести начало выполнение команды, отображается только конец. хотя прописано
aaa accounting commands 15 admin start-stop group tac-int

[csergey]

и ещё можно как то в логи выводить ошибки попыток авторизации?

[Сергей Петриков]

Возможно особенность конкретной циски, хотя есть вероятность что в сервере надо что-то указать дополнительно (какой-нибудь размер буфера или пакета), у меня инфраструктура, там где стоит этот сервер на джунах, с ними другие принципы работы, если часть выводится а часть нет, с ходу не скажу в чем грабли, пробовать и искать нужно, может другие такакс сервера опробовать для сравнения.
По поводу ошибок авторизации, лично я вывожу через snmp trap напрямую на мониторинг, с созданием алярмы, если за час более 3х таких попыток.