Aaa Tacacs Acs Server

VISOKA ŠKOLA STRUKOVNIH STUDIJA
ZA INFORMACIONE I KOMUNIKACIONE TEHNOLOGIJE
PROJEKTNI
ZADATAK
Predmet:
Bezbednost računarskih mreža
Tema:
AAA server
Student:
struk. ing. Marko Mitid
br. indeksa: 2049.17
Beograd, Mart 2018.

Bezbednost računarskih mreža AAA server
2
Sadržaj:
1. Uvod
2. Bezbednost računarskih mreža
3. Pojam AAA servisa
4. TACACS protocol
5. Cisco ACS server
6. Hardver ACS server
7. Instalacija ACS server softvera
8. Grafičko okruženje ACS servera
9. Dodavanje korisnika na TACACS server
10. Dodavanje uređaja na TACACS server
11. Mrežni Scenario
12. Konfiguracija TACACS lokalnog logovanja
na mrežnom uređaju
13. Konfiguracija TACACS autentifikacije
na mrežnom uređaju,
14. Konfiguracija TACACS autorizacije na
mrežnom uređaju
15. Konfiguracija TACACS accounting-a
16. Dodavanje AAA servisa korišdenjem
Security Device Manager (SDM)
17. Konfiguracija SSH klijenta na računaru
18. Komunikacija između TACACS servera i mrežnog uređaja
19. Zaključak
20. Literatura
3
4
1. UVOD
U ovom radu de biti razmotrena primena namenskog servera za omogudavanje pristupa

korisnicima mrežnim uređajima. Radi se o serveru za pružanje AAA usluga, tzv. TACACS+ serveru, koji
se u kompaniji za izradu mrežnih rešenja zove ACS server.
U cilju povedanja raspoloživosti i bezbednosti računarske mreže (eng. Network), bide objašnjen
razlog primene ovakvog mrežnog rešenja, prednost u odnosu na slična rešenja i bide pokazano na
primeru kako se server uklapa u mrežno okruženje, konfigurisanje uređaja i korisnika, kao i njegova
komunikacija sa mrežnim uređajima.
Bide pokazano na koji način je mogude izvesti server, u kojim modelima i vrstama dolazi, na
kom mestu u mreži se nalazi, kako komunicira sa ostalim mrežnim uređajima.
Na kraju de biti pokazano na mrežnom scenariju u laboratirijskim uslovima, kako se podešava

server za komunikaciju, kako sa mrežnim uređajima, tako u zavisnosti od vrste korisnika koji tim
uređajima žele da pristupe. Na kraju de biti objašnjeno ka čemu se krede današnja tehnologija
tehnologija u sveri servera za davanje pristupa i bezbednosti računarskih mreža uopšte.
5
6
2. Bezbednost računarskih mreža
Računarska mreža predstavlja izvestan broj mrežnih uređaja i računara. Tačnije, skup više od
jednog od ova dva elementa, ved predstavlja mrežu. Veličina mreže zavisi od broja ovih uređaja, a
može biti:
Kudna (rezidencijalna, eng. Residential network) mreža, koja je mala i sastoji se najčešde od
nekoliko računara. Sa stanovišta brojnosti uređaja, u ovom slučaju postoji najčešde jedan mrežni
uređaj, tj ruter (eng. Router) i više računara;
Poslovna (eng. Enterprise) mreža, koja može biti skoncentrisana na jednoj geografskoj lokaciji i
imati jedan iznaz na Internet, tj. prozor u svet, ili ona koja se prostire na više geografski udaljenih
lokacija međusobno povezane mrežom Telekom operatera. U ovom slučaju postoji mnogo mrežnih
uređaja i još više računara;
Telekom operater (eng. Telco, (Internet) Service Provider, ISP ili SP.), koji služi za mrežno
povezivanje Enterprajz i kudnih računarskih mreža sa Internetom kao Nad-mrežom. U ovoj mreži
postoje samo mrežni uređaji bez računara u užem smislu.
Prikaz upravljačkog centra Internet provajdera NMC (Network Management Center) sa izlazom na
Internet, korporativnim ruterom, Firewall ASA uređajem za filtriranje saobradaja, DMZ (Demilitarized Zone) u
kojoj za servere postoje posebna pravila, LAN za administratore mreža, mrežnom za redundantni pristup
mrežnim uređajima preko Out-of-Band OOB mreže
Ali bez obzira na veličinu i namenu, mreža nije napravljena da bude sama, ved da se dalje
vezuje sa drugim, susednim mrežama, činedi tako Super-mrežu (eng. Supernet). Imajudi to u vidu, svi
računari na svetu koji imaju izlaz na tu mrežu, su neposredno umreženi jedan sa drugim, odnosno
mogu da komuniciraju. Internet je spojio ljude na svim meridijanima sveta, omogudavajudi im da
komuniciraju i razmenjuju stečena iskustva. Ovo predstavlja sjajno dostignude za čoveka, ali i
potencijalnu bezbednosnu pretnju, jer nisu sva iskustva za deljenje sa svima, a što su jedinstvenija, to
su traženija od strane tredih lica koji bi da ih iskoriste i (zlo)upotrebe. Iz tog razloga, bezbednost
čuvanja podataka je postala veoma važan aspekt u današnjim telekomunikacijama i informacionim
tehnologijama.
7
Bezbednost računarske mreže u današnje vreme je postala veoma važna, tačnije neophodna u
današnjem svetu. Svi današnji računari i kudni ruteri imaju ugrađen Firewall. Važni su podaci koji se
nalaze unutar mreže i koje treba zaštititi od radoznalih pogleda. Ali kako su podaci važni, važan je i
pristup opremi na kojoj se ona skladište ili koje služe za njen transport. Ovde se misli naravno na
servere, mesta gde se podaci skladište, i na mrežne uređaje, čvorove i vodove koje omogudavaju da
se ovi podaci stave na raspolaganje korisnicima. Korisnici mogu biti ljudi ili drugi serveri i mrežni
uređaji. Tačka odluke više nije čovek u ulozi portira na ulazu u zgradu, ved uređaj na kome su
definisana prethodno dogovorena pravila.
8
3. Pojam AAA servisa
Kako bi se odlučilo ko sme da pristupa podacima i mrežnim uređajima, koristi se princip

autentifikacije (eng. Authentication). Korisnik šalje svoje korisničko ime uređaju kojem želi da
pristupi, a on ga pita za korisničku šifru i ukoliko nađe podudaranje u definisanoj bazi, bilo lokalnoj ili
na udaljenom serveru, korisniku se dozvoljava pristup ili mi se uskraduje.
C:\>telnet 10.99.1.1
Trying Router (10.99.1.1)... Open User Access Verification
Username: marko
Password: xxxxxxxx
Router >
Primer autentifikacije: 1. Udaljeni klijent želi da se autentifikuje i šalje zahtev ruteru; 2. Ruter
pita klijenta za korisničko ime i šifru; 3. Ruter pretražuje ove kredencijale u lokalnoj bazi i dozvoljava
klijentu pristup.
Kako bi se definisalo na koji način može da ih koristi, da ih samo gleda (eng. View Only,
odnosno da korisnik ima tzv. read only prava, ili da ih menja – eng. edit, odnosno da ima
administratorska prava), koristi se princip poznatiji kao autorizacija (eng. Autorization). Korisniku se
daju određena prava, tzv. Privilegovani nivoi pristupa (eng. privilege levels) pristup opremi, što bi u
Cisco terminologiji značilo pristup EXEC i configuration modu. Postoje 16 nivoa pristupa opremi:
Korisnik sa privilegovanim novoom 0 ne može da koristi ni jednu IOS komandu, dok onaj sa novoom
15 može kucati sve IOS komande. Korisnik može proveriti svoj privilegovani nivo pristupa kucanjem
sledede komande na Cisco mrežnom uređaju:
R1#show privilege
Current privilege level is 15
Pošto korisnici koji su dobili autentifikacijom dozvolu za pristup a autorizacijom određena

prava da menjaju sadržaj na serveru ili konfigurišu mrežne uređaje kao administratori, javila se
potreba da se njihov rad i zabeleži (loguje) u slučaju da je potrebna kasnija analiza. Za tu svrhu koristi
se pojam akaunting (eng. Accounting). To je veoma značajno za utvrđivanje kako se menjala
konfiguracija uređaja ako je potrebno pronadi i rešiti smetnju (eng. Troubleshooting).
R1#show accounting
Active Accounted actions on Interface Serial0:1, User jdoe Priv 1
Task ID 15, Network Accounting record, 00:00:18 Elapsed
task_id=15 timezone=PDT service=ppp mlp-links-max=4 mlp-links-current=4
protocol=ip addr=119.0.0.2 mlp-sess-id=1
Overall Accounting Traffic
Starts Stops Updates Active Drops
Exec 0 0 0 0 0
Network 8 4 0 4 0
Connect 0 0 0 0 0
Command 0 0 0 0 0
Rsrc-mgmt 1 0 0 1 0
System 0 0 0 0 0
User creates:21, frees:9, Acctinfo mallocs:15, frees:6
Users freed with accounting unaccounted for:0
Queue length:0
9
Ova tri servisa: autentifikacja, autorizacija i računovodstvo čine u oblasti bezbednosti

računarskih mreža pojam poznatiji kao AAA servis (eng. Triple A). Korišdenjem ovog servisa u
računarskoj mreži, štite se mrežni uređaji, serveri i računari od neovlašdenog i zlonamernog upada i
korišdenja. Jasno su definisane uloge ko sme da pristupa kojim uređajima, šta od komandi sme da
unosi, kojim podacima sme da raspolaže i na koji način da ih koristi. Implementiranje ove vrste
kontrole pristupa po ulogama (eng. Role-Based Access Control (RBAC)), znatno podiže nivo
bezbednosti u mreži. Niko ne želi nepozvane goste u svojoj kudi? Isto važi i za mrežu i mrežne
uređaje.
AAA servisi su objašnjeni u više zvaničnih IETF (Internet Engineering Task Force) dokumenata,
poznatijih kao RFC (Request for Comments) pod brojem 2924, 2975, 2989, 3127.
U tom cilju, korišdenje AAA servisa je centralizovano i skoncentrisano u posebnom mrežnom
uređaju za kontrolu pristupa, namenskom serveru čija je uloga da samo odgovara na upite vezane za
AAA servise, a to je TACACS server.
10
4. TACACS protokol
Komunikacija AAA servera sa svojim klijentima, odnosno mrežnim uređajima i računarima,

može se odvijati i po RADIUS (Remote Authentication Dial-In User Service) protokolu. To je industrijski
standard, što znači da ga mogu koristiti svi proizvođači mrežne opreme a ne samo Cisco.
Komunikacija se odvija preko UDP (User Datagram Protocol) protokola transportnog nivoa OSI
(Open Systems Interconnection) modela, što znači da paketi se ne šalju sa proverom prispeda. Velika
mana ovog protokola predstavlja nesigurnosnu komunikaciju. Poruke se šalju u tekstualnom formatu
(eng. Clear text), dok je samo šifra (eng. Password) kriptovana. Ovo predstavlja sigurnosni prospust
ukoliko se poruke između mrežnih uređaja i RADIUS servera razmenjuju preko Interneta gde bi haker
(eng. Hacker) teorijski mogao da ih presretne. Koristedi namenski softver za traženje i analizu paketa
(eng. Packet sniffer) može pronadi korisničko ime, izvornu i odredišnu IP adresu, te samo fali da nađe
šifru. Stoga se ova vrsta komunikacija koristi samo u zatvorenim mrežnim scenarijima, kao što su
komunikacija kroz VLAN. U mreži Telekoma Srbija, RADIUS server se koristi za autentifikaciju isprva
Dial-Up, a zatim i xDSL (eng. Digital Subscriber Line) korisnika.
Još jedna mana RADIUS protokola i komunikacije, predstavlja odsustvo Accounting dela AAA
servisa, pa se ne zna šta je korisnik radio. Zbog toga je uveden fleksibilniji protokol po pitanju
administrativne kontrole, a to je TACACS+ protokol.
TACACS+ (Terminal Access Controller Access-Control System) protokol, koji je vlasništvo
kompanije Cisco, obezbeđuje fleksibilniju administrativnu kontrolu nad procesom autentifikacije i
autorizacije u okviru AAA servisa.
Komunikacija između TACACS servera (koji se može nazvati i ACS, ali se u pojedinim
dokumentima može naidi i na ime: Network Access Server (NAS)) komunicira sa AAA ili TACACS
klijenom, što je najčešde neki mrežni uređaj, ruter ili svič na koji korisnik zahteva pristup.
Cisco IOS (Internetwork Operating System) podržavaju sve tri starije verzije TACACS protokola:
 TACACS;
 XTACACS;
 TACACS +;
Nasuprot RADIUS protokolu, komunikacija se zasniva na TCP (Transmission Control Protocol)
prenosu, što znatno utiče na pouzdanost prenosa i to po po “dobro poznatom” (eng. Well-known)
portu 49. Zato je ova komunikacija poželjnija u slučajevima zagušenja linka, kada se koristi opcija
kontrole toka (eng. Flow Control, TCP prozor, tj. TCP Windowing) i nedostatka propusnog opsega
(eng. Bandwidth).
TACACS+ ID čini 12 bajtni heder koji koriste svi TACACS+ paketi. Heder se uvek šalje u
tekstualnom formatu (eng. clear text format). Heder čine slededa polja:
 Major_version, definise verziju TACACS+ protokola a ispisuje se u formatu:

TAC_PLUS_MAJOR_VER=0xc;
 Minor_version, definiše broj revizije i kompatibilan je sa starijim verzijama

(backward compatibility. Default-na vrednost je 1. a u hederu se pojavljuje kao ispis:
TAC_PLUS_MINOR_VER_DEFAULT=0x0 ili TAC_PLUS_MINOR_VER_ONE=0x1.
 Type definiše tip paketa. Samo određeni tipovi su legalni:
11
- TAC_PLUS_AUTHEN=0x01 - tip paketa koji definiše authentifikaciju;
- TAC_PLUS_AUTHOR-0x02 - tip paketa koji definiše authorizaciju;
- TAC_PLUS_ACCT=0x03 - tip paketa koji definiše akaunting.
 Seq_no Broj sekvence određene TACACS sesije, pošto TACACS+ server ima
mogudnost više TACACS+ sesija sa AAA klijentom. Prvi paket u sesiji nosi ID sekvence
1, dok se ostali ID povedavaju za 1 a najvedi mogudi ID je 28-1 nakon koje se sesija
raskida i ponovo inicira sa ID=1.
 Flags In može biti ili 0, kada je paket enkriptovan i 1 kada nije:
TAC_PLUS_UNENCRYPTED_FLAG i TAC_PLUS_SINGLE_CONNECT_FLAG.
Mogudnost skidanja enkripcije se koristi isključivo u cilju otklanjanja problema u

komunikaciji, kada se uključuje debbug, kada se vidi ceo nekriptovani paket;
 Session_id je proizvoljna vrednost koja služi za identifikaciju određene sesije između

AAA klijenta i servera, a ostaje nepromenjena tokom trajanja cele sesije.
 Length označava celu dužinu TACACS+ paketa, bez 12-bajtnog zaglavlja.
Format TACACS+ zaglavlja

Ono što ga posebno izdvaja od RADIUS protokola, jeste enkripcija i autentifikacija cele
komunikacije i cele poruke koja se odvija između AAA servera i AAA klijenta, i to korišdenjem
sigurnosnog tajnog ključa (eng. Shared secret key) na oba kraja, i MD5 haša (eng. Hash).
12
5. Cisco ACS Server
Cisco Secure Access Server (CSACS), ili samo ACS server (Access Control Server - ACS),
predstavlja namenski server za davanje prava pristupu (mrežnim uređajima) korišdenjem AAA servisa
i TACACS+ protokola kompanije Cisco.
Cisco je zamislio ACS server kao centralizovanu bazu za sve AAA servise u mreži:
 Server može da se integriše External Identity Stores tj. Active Directory Domain & Lightweight
Directory Access Protocol (LDAP), što u prevodu znači da predstavlja eksternu bazu koju proziva
kontroler domena (Domain controller (DC)) koji kontroliše domenske korisnike okviru Active
Directory. U tom slučaju TACACS+ klijent je Windows Server, zadužen za Active Directory Domain
Services (AD DS). Microsoft koristi nestandardne brojeve TCP portova za ovu komunikaciju, pa je
potrebno na TACACS serveru uskladiti portove da se podudaraju sa onima na Windows AD serveru.
 Koristi se u mreži Internet Servis Provajdera (Service Providers) umesto RADIUS servera, za
autentifikaciju xDSL korisnika, pod nazivom Cisco Access Registar (CAR);
 Certificate authority or certification authority (CA),
 Automatsko pradenje kritičnih servisa i mogudnost slanja alarma administratorima ukoliko se
ukaže problem, ali i restartovanje ovih servisa.
 Mogudnost definisanja ograničenja u korišdenju AAA servisa predefinisanim grupama
korisnika u zavisnosti od doba dana, npr. dozvoljeno logovanje u radno vreme od 9 do 17 časova
(eng. time-of-day), ili u toku radne nedelje od ponedeljka do petka (eng. day-of-week) restrictions.
 Mogudnost autentifikacije korisnika koji pristupaju mreži preko janog Interneta a korišdenjem
Virtual private network (VPN) softvera i IPSec i naloga. U tom slučaju je omogudeno korisnicima da od
kude ili neke druge lokacije koja ima pristup Internetu, korišdenjem predefinisanih IPSec naloga
(korisničko ime i lozinka) a korišdenjem nekih od VPN softvera poput Cisco VPN Client-a, mogude je
udi u LAN (eng. Local Area Network) koju obično čine privatne IP adrese, koje nisu vidljive spolja.
 Korišdenjem Lightweight Extensible Authentication Protocol (LEAP) tehnologije i protokola
moguda je autentifikacija korisnika koji bežično pristupaju mreži. Konektovanjem na Wireless Access
Point-ove (AP) umesto definisanja lokalne baze korisnika koji smeju da pristupaju mreži, AP se obrada
RADIUS protokolom nadređenoj bazi na RADIUS/TACACS ACS serveru.
13
Naprednija verzija, Cisco ACS model 1121, poseduje DVD-ROM, i dva hard-diska (HDD) koji su „Hot swappable“,
tj. Sa mogudnošdu zamene dok je uređaj operativan
Svaka veda računarska mreža bi trebalo da poseduje bar jedan ACS server a velike Enterprise
firme i Telekom operateri zbog redundanse i zacrtane raspoloživosti AAA servisa od 100%, imaju i po
dva. Jedan se definiše kao prvi (eng. primary) PRIMARY, i njega uvek prozivaju mrežni uređaji i
korisnici. Drugi služi kao podrška u slučaju da prvi postane nedostupan iz nekog razloga (eng.
backup). Zato se i naziva drugi SECONDARY. Ova dva servera rade u režimu MASTER-SLAVE.
U zadato vreme, kada se ne očekuje veliki broj upita ka serverima, a što je najčešde ponod,
definiše se preslikavanje baze korisnika sa Primarnog servera na Sekundarni. Ovaj proces se zove
Replikacija (eng. Replication). Opcija se nalazi u odeljku System Administration/Operations/
Distributed System Management, gde postoje dve instance: Primary Instance i Secondary Instance a
pod njima njihove karakteristike, kao što su: Ime, IP adresa, Online Status, Replication ID, Last Update
(kada je vršena replikacija poslednji put), koja je verzija ACS servera i opis servera koju je dao
administrator.
Primer odeljka za replikaciju Primarnog ACS server u sekundarni.

U našem primeru postoji samo primarni server.
Na serveru se defineše vreme replikacije:

kron occurrence occurrence_acsadmin
at 00:00
recurring
Dodavanje Sekundarnog ACS servera na Primarni, obavlja se u odeljku System Administration/

Local Operations/Deployment Operations
ACS verzija 4.2 se mogla instalirati samo na Windows Server operativni sistem, dok je
počev od verzije 5.4 moguda instalacija na VMware virtuelnu mašinu poput ESXi servera.
U mreži Telekoma Srbija se koristi za autentifikovanje korisnika koji pristupaju mrežnoj opremi,
ali i za IPSec (Internet Protocol Security) pristup korisnika koji preko Interneta pristupaju nekoj od
VPN instanci. Obezbeđuje predefinisane ključeve tokom procesa ISAKMP (Internet Security
Association and Key Management Protocol) za autentifikaciju korisnika, poznatiju kao XAUTH.
Administratori korisičkih rutera unose IPSec ove sigurnosne parametre na Cisco uređaje, što se zove i
„Command Line Authorization“.
14
6. Hardver ACS servera
Na primeru jednog modela ACS servera bide pokazane hardverske karakteristike modela Cisco
1111 ACS 74-3348-03.
Slika : Cisco ACS model 1111, polovan se može kupiti na eBay
Uređaj se montira u telekomunikacioni orman (rack) (eng. Rack mountable), standradne visine
44.50 mm (1.75 in) tj. 1U. Poseduje L profil za pričvršdivanje uređaja za metalni ram ormana.
Uređaj poseduje metalni L profil za pričvršdivanje uređaja za metalni ram ormana i šraf kojim
se vrši pričvršdivanje.
Dimenzije ACS uređaja
Prikaz ved postojedeg L profila i šrafa za pričvršdivanje na ram ormana
15
Tehničke karatkteristike:
 Procesor: Intel Pentium 4 takta 3.06 GHz;
 Memorija: 1 Gb RAM;
 Diskovi: HDD, CD/DVD-ROM, Floppy drive.
Slika : Server bez poklopca, može se videti Floppy disk Qompaq, prostor za dva hard diska.
Untrašnjost servera i prikaz matične ploče sa hladnjakom procesora, 4 slota za RAM module, hladnjake hard diska
16
Konektori:
1. Ulaz mrežnog napajanja
2. PS/2 port za povezivanje miša;
3. USB port;
4. serijski port RS-232 za konzolni kabl;
5. Video RGB (Red Green Blue) za povezivanje monitora;
6. Fa0/2 NIC (Network Interface Card) RJ-45 Fast Ethernet 10/100/1000-Mbit/s;
7. Fa0/1 NIC (Network Interface Card) RJ-45 Fast Ethernet 10/100/1000-Mbit/s;
8. PS/2 port za povezivanje tastature.
17
18
7. Instalacija ACS server softvera
ACS hardver dolazi u pakovanju zajedno sa uputstvom za upotrebu, instalacionim CD-om

softvera, konzolnim kablom, i samim serverom. ACS softver se instalira kao ISO image fajl na CD-
ROM-u (ili se može nadi na Internetu) koji dolazi zajedno sa isporučenim hardverom.
Cisco ACS server sa pratedim uputstvom i instalacionim butabilnim CD-om

ACS softver se može se instalirati na nekoliko platformi:
 Server kojim se pristupa konzolnim kablom kao ruteru ili sviču, kao na slici;
 Računar koji pokrede Windows ili Linux operativni sistem;
 Na serveru sa operativnim sistemom Windows Server na kome je podignut AAA servis;
 U virtuelnoj mašini gde se podesi da CD/DVD-ROM pokrede image ISO fajl, kao na slici;
Podešavanje virtuelne mašine

Na zvaničnom sajtu kompanije cisco.com je do datuma 10-26-2013 bilo mogude skinuti probnu
kopiju (Evaluation copy) u trajanju od 90 dana i instalirati je u virtuelnoj mašini u Windows Server
okruženju a kasnije i u Windows okruženju.
Prilikom startovanja ISO image fajla sa DVD-ROM-a, počinje instalacija.
19
Ukoliko se pokrene ACS Recovery DVD ili butabilni USB drajv sa Cisco Secure ACS ISO image,
dobija se ekran sa opcijama za instalaciju, oporavak sistema ili reset šifre za pristup:
Welcome to Cisco Secure ACS 5.5 Recovery
To boot from hard disk press <Enter>
Available boot options:

[1] Cisco Secure ACS 5.4 Installation (Keyboard/Monitor)
[2] Cisco Secure ACS 5.4 Installation (Serial Console)
[3] Reset Administrator Password (Keyboard/Monitor)
[4] Reset Administrator Password (Serial Console)
<Enter> Boot from hard disk
Please enter boot option and press <Enter>.
boot:
To reset the administrator password, at the system prompt, enter 3 if you are
using a keyboard and video monitor, or enter 4 if you are using a serial
console port.
Za instalaciju pritisnuti 1. Nakon instalacije ACS_v5.5.0.46.iso fajla sa DVD koji je veličine 1,78
Gb, dobije se preko 20Gb instalacije. U slučaju da se instalira u virtuelnoj mašini, preporučeno je
ostaviti 60Gb prostora na fizičkom hard disku.
Proces instalacije
Nakod duže instalacije, dobija se upit za konfiguraciju osnovnih parametara servera, kao što je
ime (eng. Hostname), IP adrese i mrežna maska, izlaznog interfejsa (eng. Default Gateway),
administratorski nalog, administratorsku šifru, primarni (i sekundarni opciono) DNS (Domain Name
Server)... nakon čega de se sistem rebutovati.
Unošenje najvažnijih parametara i restartovanje servera

20
Proces butovanja Linux kernel-a iz ROM-a (Read Only Memory)
Izgled pozdravne poruke (banner) prilikom logovanja na server.
U konfiguraciji se vidi ved kreiran korisnik sa administratorskim pravima, gde je šifra

enkriptovana:
username marko password hash $1$0YaOfM7a$ZNJo7cMLYQDOG4/EFO79o/ role admin
ACSTacacs# show version
Cisco Application Deployment Engine OS Release: 2.1

ADE-OS Build Version: 2.1.1.129
ADE-OS System Architecture: i386
Copyright (c) 2005-2013 by Cisco Systems, Inc.

All rights reserved.
Hostname: ACSTacacs
Version information of installed applications

---------------------------------------------
Cisco ACS VERSION INFORMATION
-----------------------------
Version : 5.5.0.46
Internal Build ID : B.723
ACSTacacs# show application status acs

ACS role: PRIMARY
Process 'database' running

Process 'management' running
Process 'runtime' running
Process 'ntpd' running
Process 'view-database' running
Process 'view-jobmanager' running
Process 'view-alertmanager' running
Process 'view-collector' running
Process 'view-logprocessor' running
ACSTacacs# show memory

total memory: 4016532 kB
free memory: 2676248 kB
21
cached: 483720 kB
swap-cached: 0 kB
ACSTacacs# show inventory
NAME: "Cisco-VM chassis", DESCR: "Cisco-VM chassis"

PID: Cisco-VM-SPID , VID: V01 , SN: ADD66BHKI6I
Total RAM Memory: 4016532 kB
CPU Core Count: 1
CPU 0: Model Info: Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
Hard Disk Count(*): 1
Disk 0: Device Name: /dev/sda
Disk 0: Capacity: 64.40 GB
Disk 0: Geometry: 255 heads 63 sectors/track 7832 cylinders
NIC Count: 1
NIC 0: Device Name: eth0
NIC 0: HW Address: 00:0C:29:99:60:A8
NIC 0: Driver Descr: VMware Virtual Ethernet driver
(*) Hard Disk Count may be Logical.
ACSTacacs# show cpu

processor : 0
model : Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
speed(MHz): 2394.000
cache size: 2048 KB
ACSTacacs# show disks
disk repository: 3% used (142288 of 5491216)
Internal filesystems:
/ : 9% used ( 305412 of 3999424)
/storeddata : 36% used ( 1333840 of 3967680)
/usr : 26% used ( 982300 of 3999424)
/tmp : 3% used ( 76232 of 3999424)
/opt : 12% used ( 2745868 of 24853612)
/home : 2% used ( 17716 of 983960)
/altroot : 2% used ( 17652 of 983960)
/recovery : 2% used ( 17652 of 983960)
/var : 4% used ( 181764 of 4983392)
/storedconfig : 2% used ( 17772 of 988116)
/boot : 40% used ( 34781 of 93275)
/dev/shm : 0% used ( 0 of 2008264)
all internal filesystems have sufficient free space
interface GigabitEthernet 0
ip address 10.10.0.65 255.255.255.0
ipv6 address autoconfig
ipv6 enable
Provera konektivnosti pingovanjem, opcije su ip (misli se na Ipv4) i ipv6:

ACSTacacs# ping ip 10.10.0.1 Pingovanje izlaznog gejtveja
PING 10.10.0.1 (10.10.0.1) 56(84) bytes of data.
64 bytes from 10.10.0.1: icmp_seq=1 ttl=255 time=0.321 ms
--- 10.10.0.1 ping statistics ---

4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 0.297/0.309/0.321/0.023 ms
ACSTacacs# ping ip 8.8.8.8 Pingovanje Google-a

PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
--- 8.8.8.8 ping statistics ---

22
Pošto su setovani DNS serveri koji de razrešavati upite, domen lab.rs:

ip domain-lookup
ip domain-name lab.rs
ip name-server 212.200.190.166 212.200.191.166
Mogude je pingovati google.com kao URL (Uniform Resourse Locatior) adresu, i DNS de razrešiti
upit:
ACSTacacs# ping ip google.com
PING google.com (172.217.18.78) 56(84) bytes of data.
--- google.com ping statistics ---

Mogude je komandom sličnom onom u DOS-u, zatražiti razrešenje adrese, npr. google.rs:
ACSTacacs# nslookup google.rs
Trying "google.rs"
Received 103 bytes from 212.200.191.166#53 in 2 ms
Komandom kojom se konfiguriše NTP (Network Time Server) server, ruter dobija tačno vreme:
ntp server 212.200.13.22
ACSTacacs# show ntp

Configured NTP Servers:
212.200.13.22
synchronised to NTP server (212.200.13.22) at stratum 4

time correct to within 62 ms
polling server every 256 s
remote refid st t when poll reach delay offset jitter

==============================================================================
127.127.1.0 .LOCL. 10 l 56 64 377 0.000 0.000 0.001
*212.200.13.22 212.200.13.4 3 u 182 256 377 1.264 -0.253 5.385
* Current time source, + Candidate
Warning: Output results may conflict during periods of changing synchronization.
Ukoliko naknadno promenite vremensku zonu, sistem de tražiti da se resetuje. Zato je važno
ovu komandu uneti prilikom prvog pokretanja servera:
ACSTacacs(config)# clock timezone Europe/Belgrade
Changing the system timezone may result in undesired side effects on

any installed application(s).
Are you sure you want to proceed? Y/N [N]: y
Time zone was modified. You must restart ACS.
Do you want to restart ACS now? (yes/no) yes
Stopping ACS.
ACSTacacs# show logins ?

cli List cli login history
ACSTacacs# show logins cli

marko pts/1 Mon Mar 5 12:53 still logged in :pts/0:S.0
marko pts/0 Mon Mar 5 12:53 still logged in 10.10.0.62
marko tty1 Mon Mar 5 11:50 still logged in
reboot system boot Mon Mar 5 11:48 (01:12) 2.6.18-308.el5PAE
marko tty1 Mon Mar 5 11:41 - down (00:05)
reboot system boot Mon Mar 5 11:40 (00:07) 2.6.18-308.el5PAE
marko tty1 Sat Mar 3 07:02 - 07:32 (00:30)
marko pts/1 Sat Mar 3 00:03 - 00:06 (00:02) :pts/0:S.0
marko pts/0 Sat Mar 3 00:03 - 00:06 (00:02) 10.10.0.83
marko tty1 Fri Mar 2 23:35 - 00:14 (00:38)
23
wtmp begins Thu Mar 1 10:13:21 2018
ACSTacacs# show uptime

0 day(s), 01:15:30
Definisanje koji nivo alarma de se pojavljivati u logu:

ACSTacacs(config)# logging loglevel ?
<0-7> 0-emerg;1-alert;2-crit;3-err;4-warn;5-notif;6-inform;7-debug
Gde je default-na vrednost od 4 na dole. Slededa komanda ispisuje log:

ACSTacacs# show logging
ADEOS Platform log:
-----------------
Feb 27 22:22:06 localhost ADE-SERVICE[2553]: [2689]:[info] config:network: main.

c[252] [setup]: Setup is complete
Politika unosa šifri, bilo za korisnika, enable mod ili neki drugi, definiše se pod password-policy
menijem:
lower-case-required
upper-case-required
digit-required
no-username
disable-cisco-passwords
min-password-length 6
password-lock-enabled
password-lock-retry-count 5
Velike kompanije koje administriraju mnogo mrežnih uređaja, moraju dugo, ako ne i zauvek, da
čuvaju AAA podatke. Pošto se u tom slučaju radi o mnogo podataka, postoji mogudnost da ugrađeni
hard disk nije dovoljan da ih sve skladišti. Radi rešenja ovog problema, mogude je čuvati logove na
eksternom serveru, kakav je SFTP server (Secure File Transfer Protocol). To se definiše komandom:
cli acs scheduled_backup acsadmin repository SFTP-Server
24
8.Grafičko okruženje ACS servera
Pošto je na serveru podignut secure http server, tj. https server, mogude je pridi serveru preko
web pretraživača kucanjem IP adrese njegovog Gi0 interfejsa. U podržanom pretraživaču koji je
Internet Explorer (Microsoft Edge), kucati URL adresu: https://10.10.0.65/acsadmin/login.jsp
CA sertifikat omoguden prilikom pristupa sajtu.
Kliknuti na „Continue to this website (not recommended)“ a zatim na „Proceed to 10.10.0.65

(unsafe)“.
Pozdravni ekran prilikom logovanja, sa banner pozdravnom porukom u levom donjem uglu
Pozdravni ekran starije verzije ACS v3.3
25
Meni za dodavanje korisnika na verziji 3.3
Prvi ekran je MyWorkspace, sa prečicama za razne strane u ACS serveru. U uglu se vidi
indikacija da se radi o probnoj kopiji (eng. evaluation) ACS servera u trajanju od 90 dana: „EVAL (Days
left: 63)“
U meniju: My Account se može promeniti šifra za logovanje na ACS.
U meniju: Login Banner se može postaviti pozdravna poruka koja se ispisuje na login strani.
Ukoliko se koristi eksterno skladište baze korisnika, potrebno ju je konfigurisati pod „External
Identity Stores“ protokol „LDAP“. U tom slučaju TACACS server koristi udaljenu bazu za autentifikaciju
svojih korisnika, a ona može biti na Windows Server Active Directory.
26
Potrebno je pod menijem Active Directory definisati na kojem domenu se nalazi AD i koja mu
je šifra za pristup. Zatim se izvrši testiranje i spajanje sa njegovom bazom.
U meniju „System Administration“ je mogude definisati dodatne administratore servera i dati

im određene uloge. Uloga „SuperAdmin“ je najviša, i omogudava pristup svim segmentima servera,
slično privilege level 15 kod mrežnih uređaja.
Uloge naloga su objašnjene u slededem podmeniju Uloge (eng. Roles). Selektovanjem

određene uloge, može se detaljnije sagledati koja joj je namena.
27
U podmeniju Podešavanja/Autentifikacija (eng. Settings/Authentication), u kartici

„Komplikovanost šifre“ (eng. Password Complexity) podešava se kompleksnost korisničkih šifri,
određuje se najmanji broj karaktera koji šifra može da sadrži, zatim da li moraju da se koristi
kombinacija malih i velikih slova, brojeva i neki specijalni znak. Osnovna podrazumevana podešavanja
su isključena. U kartici sa naprednim podešavanjima (eng. Advanced), definišu se akcije nakon
neuspelih pokušaja logovanja korisnika, i broj neuspelih pokušaja (ved je definisan broj pokušaja 3)
nakon čega je mogude onesposobiti korisničko ime. Određuje se „životni vek“ šifre (eng. Lifetime) i
trajanje (eng. Expiration).
U podmeniju za pristup (eng. Access), definiše se sa kojih IP adresa je mogude pristupiti ACS
serveru. Osnovna postavka je dopušteno sa svih IP adresa. Ukoliko se promeni pristup u „Omoguditi
pristup samo sa spiska IP adresa“ (eng Allow only listed IP address to connect), otvara se dijalog
prozor u kome se definiše tzv. Bela lista (eng. Whitelist) IP adresa sa kojih je mogude pristupiti
serveru. Postoji i tzv. Blacklist, odnosno lista IP adresa sa kojih je zabranjen pristup. Slična postavka je
na mrežnim uređajima na kojima se korišdenjem lista za pristup (eng. Access Lists ACL) dopušta ili
brani pristup uređaju ili interfejsu.
28
9. Dodavanje korisnika na TACACS server
Korisnici koji de biti autentifikovani korišdenjem TACACS+ servera, definišu se pod „Users and
Identity Stores/Identity Groups“. Po default-u postoji jedna grupa, to je ALL Groups, ali se može
dodati nova selektovanjem dugmeta „Create“. Napravljena je grupa „Administrators“, koja de imati
definisani privilegovani nivo pristupa 15 i dozvolu da koristi sve komande. Druga grupa je „Users“,
koja de imati privilegovani nivo pristupa 1 („View only“) i dozvolu da koristi pet osnovnih komandi.
Na kraju procesa kreiranja grupa, dobijamo spisak grupa sa kratkim opisom.
Pojedinačni korisnici se dodaju selektovanjem dugmeta „Create“ pod menijem „Users“.

Definiše se ime korisnika, proizvoljan opis koji ga bliže opisuje, izabere se kojoj prethodno definisanoj
grupi korisnika („Identity group“) pripada, šifra koju de korisnik koristiti prilikom logovanja. Postoji
opcija kojom se korisnički nalog stopira, odabirom „Disable“ kraj korisničkog imena, ili brisanje
kliktanjem na dugme „Delete“.
Kreirali smo korisnika pod imenom „marko“ i definisali šifru i enable password za ulazak u
priviledged EXEC mode.
Dodali smo i jednog „view only“ korisnika pod imenom „Other“ koji ne pripada grupi
prethodno definisanih Administratora, ved „Users“. Njemu de biti uskraden ulazak u exec enable mod,
tzv. „Shell mode“:
29
Nakon kreiranja korisnika, pokazuje se njihov spisak, pripadajude grupe i opis:
Autorizacija ovih korisnika se podešava u meniju „Policy Elements/Authorization and

Permitions/Device Administration/Shell Profiles“. Označiti „Dozvoliti pristup“ i „Napravi“ (Permit
Access, Create).
Napravidemo dva profila („Shell Profiles“):

1. Privilegovani nivo 15 (profil „priviledge 15“) koji de biti pridodat administratorskoj grupi
(„Administrator group“).
2. Privilegovani nivo 1 (profil „priviledge 1“) koji de biti pridodat grupi korisnika sa „View only“
pravima („User group“).
Kartica „Common Tasks“ u kojoj se statički unosi privilegovani nivo.

U slučaju Administrator-a (privilegde 15) i other (priviledge 1)
30
U kartici „Custom Attributes“ se nalazi prikaz atributa koji se razmenjuju u TACACS porukama,
a mogude je dodatno konfigurisati još neke dodatne atribute
Na kraju se vidi spisak privilegovanih profila sa kratkim opisom.
Mogude je kreirati ostale privilegije, tzv. „Parser view“, koji de biti pridodati korisnicima sa
definisanim pristupom određenim komandama. Ovi profili prestavljaju „customized priviledge“
korisnike, koji mogu da koriste samo definisane komande.
Sada je potrebno napraviti autorizacione polise, što se radi pod Access Policies/Access Services
Potrebno je kreirati servise pristupa, kliknuti na „Create“ i za obe grupe.
U koraku 1 „Step 1 – General“ smo prvu grupu servisa nazvali ADMINISTRATORS, a drugu
USERS, svim velikim slovima, kako bi razlikovali od sličnih naziva (grupa, profil...). Zatim se čekira
servis: „User Selected Service Type“ i pod njim izabere „Device Administration“ u slučaju
administratora, i „Network Access“ u slučaju ostalih (other) korisnika, i klikne se na „Next“. Otvara se
31
drugi korak „Step 2 – Allowed Protocols“ gde je za komunikaciju TACACS+ servera sa mrežnim
urešajima dovoljno samo selektovati „Allow PAP/ASCII“. Kliknuti „Finish“.
Na ekranu de se pojaviti poruka, koja vas obaveštava da je kreiranje pristupnih servisa uspešno
okončano i da se može pristupiti kreiranju odabira servisa „Service Selection“. Kliknuti „Yes“.
Otvoride se stranica Service Selection Rules. Kada AAA serveru dođe zahtev, prvo de se procenjivati pravila selekcije
definisana pod Service Selection Rules. Promeniti ved postojede pravilo 1 (Rule-1)
Pod Identity svake polise je potrebno definisati koji je izvor identiteta, da li je to AD (Active
Directory) ukoliko naš ACS server vrši autentifikaciju i autorizaciju koristedi eksternu bazu na
Windows Server Active Direcrtory, ili u našem slučaju lokalnu bazu skladištenu na svom disku. Druga
opcija je AD_Local, što znači da de ACS prvo pokušati da konsultuje AD bazu a ako ona nije dostupna,
probati lokalno definisane korisnike. Tada se u „Identity Source“ bira „Internal Users“ a ostala
podešavanja se ostave kako su definisana.
Na kraju je potrebno definisati autorizaciju, pod „Authorization“ svake polise. Pošto ni jedan
profil nije definisan, kliknuti „Napravi“ tj. „Customize“. Izabrati samo uslov samo za predefinisane
atribute: „Protocol“, „Shell Profile“, „Command Sets“ i „Identity Group“.
32
Kreirati pravilo autorizacije na „Create“. Za prethodno definisano pravilo „Rule-1“ uslov je da

se komunikacija odvija po protokolu Tacacs a identitet duguje Administratorskoj grupi. Pravilu se još
pridružuje i pravo pristupa koje je „Permit“ ili „Deny“ a mogli smo definisati ostale Parser View-ove i
ovde ih pridruživati pravilima. Na kraju kliknuti „Select“ i to isto uraditi i za drugo pravilo „Rule-2“.
Napravitu uslov pod „Conditions“, staviti da po protokolu Tacacs (if Protocol match Tacacs)
staviti polisu prethodno definisanu „ADMINISTRATORS“. Isto uraditi za „Rule-2“ i polisu „USERS“.
Dobija se spisak pravila kojima se po default-u uskraduje pristup, dok se ne definiše drugačije
pod Identity svake pojedinačne polise.
Rezultat su dva pravila za dve vrste korisnika: administratore sa admin pravima i korisnike (user
tj. other) sa „Read only“ pravima, kojima se zabranjuje ulazak u konfiguracioni mod.
Za sva pravila koja ne potpadaju pod dva definisana, default-na vrednost je setovana na
„Permit“ što se ne sme ostaviti zbog sigurnosnog propusta. Zato je potrebno je promeniti ponašanje
pravila, pa u dnu selektovati „Default“ i promeniti u „Deny Access“:
Default If no rules defined or no enabled rule matches. Permit Access 0
33
34
10. Dodavanje uređaja na TACACS server
U resursima mreže (eng. Network Resources), dodaju se mrežni uređaji. Po default-u, postoje
dve grupe resursa: vrsta uređaja i lokacija (Device Type i Location). Prvo je potrebno definisati
lokaciju na kojoj su mrežni uređaji, kliktanjem na dugme „Create“.
Definisana je lokacija pod imenom HP2, na kojoj se nalaze mrežni uređaji emulirani u GNS3
softveru. Kliknuti „Select“ kako bi se uneo podatak o lokaciji. Sada se može videti kreirana lokacija
kada se otvori „All Locations“ stavka, kao na slici:
Zatim je potrebno definisati vrstu uređaja koja de koristiti usluge AAA servera, a to može biti,
npr. ruter, svič, firewall, server... Kliknuti u levom meniju na „Device Type“ i „Create“ da biste uneli
vrstu uređaja, zatim opis koji nije obavezan i kliknuti „Submit“ da bi se postavke sačuvale. Kada se
razvuče „All Device Types“, može se videti napravljen objekat „Routers“.
U meniju „Network Devices and AAA Clients“ se dodaju mrežni uređaji. Kreira se uređaj koji de
tražiti autorizaciju koristedi svoju IP adresu. Definisati ime pod „Name“, proizvoljan opis, prethodno
kreirana lokacija (kliknuti na „Select“ pored „Location“ i izabrati „HP2“), vrsta mrežnog uređaja kojoj
R1 pripada a napravljena u prethodnom koraku (kliknuti na „Select“ pored „Device Type“ i izabati
„Router“). Označiti način autentifikacije da bude „TACACS+“ a ključ za komunikaciju, odnosno
„Shared Secret“ staviti isti kao i key na ruteru u komandi: tacacs-server host 10.10.0.65 key cisco123.
35
36
11. Mrežni Scenario
Za demonstraciju komunikacije između TACACS+ servera i SSH klijenta za autentifikaciju,

autorizaciju korisnika koji pristupa sa HP1 računara, korišdeni su slededi elementi:
Fizički uređaji:
 Računar HP1 sa IP adresom 10.10.0.62/24, default gateway: 10.10.0.1, na kome je instalirana
virtuelna mašina Wmvare Workstaion 12 softver u kome je podignut ACS server;
 Korporativni LAN svič kao gateway sa IP adresom 10.10.0.1 preko kog se vrši komunikacija
između računara.
 Računar HP2 sa IP adresom 10.10.0.64/24, default gateway: 10.10.0.1, na kome je instaliran
emulator GNS3 (eng. Graphical Network Simulator) softver u kome je podignut IOS Cisco rutera,
model 7200;
Fizička topologija
Logička topologija se sastoji od slededih elemenata:

 ACS server sa IP adresom 10.10.0.65, default gateway: 10.10.0.1 na adapteru Vmnet0 koji
je premošden na fizički adapter računara HP1. ACS je instaliran na virtuelnoj mašini Wmvare
Workstaion 12;
 Router Cisco model 7200, koji je podignut u emulatoru GNS3, dok se IOS može podidi ili
putem GNS3 Dynamips ili Wmvare Workstation virtuelne mašine;
 Računar HP1 na kome je instaliran SecureCRT SSH/telnet klijent.
Logička topologija
Ruter u GNS3 ima izlaz na fizičku mrežu tako što je izlazni interfejs Gi1/0 povezan na oblak
(eng. Cloud) koji u emulatoru predstavlja Loopback interfejs računara (127.0.0.1). Pošto ovaj interfejs
nije u startu enbable-ovan u Microsoft Windows operatiovnom sistemu, potrebno ga je naknadno
enable-ovati:
37
U Device Manageru, desnim klikom na ime računara otvoriti meni i izabrati: Add legacy hardware.
Kliknuti na Next i odabrati manuelnu instalaciju, a zatim odabrati Network Adapters
Odabrati za proizvođača Microsoft u levom prozoru, a u

desnom selektovati Microsoft KM-TEST Loopback Adapter
38
Instalacija drajvera može potrajati nakon čega de se se pojaviti opcija Finish,

nakon računar de ponuditi da se restartuje.
Nakon restartovanja računara, u Network Connections de se

pojaviti novi adapter pod imenom Ethernet 3
Zatim je potrebno podeliti Internet konekciju sa drugim adapterom,

tj. Loopack interfejsom, što je u našem slučaju Ethernet 3 adapter
GNS3 topologija, Realizacija izlaza rutera iz GNS3 na fizičku mrežu

R1#show run interface Gi1/0
description TO the LOOPBACK
ip address 10.10.0.66 255.255.255.0
negotiation auto
R1#show interface description
39
Interface Status Protocol Description

Gi1/0 up up TO the LOOPBACK
Pingovanje Gateway-ja, odnosno sviča:

R1#ping 10.10.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 108/123/132 ms
Pingovanje ACS/TACACS servera:

R1#ping 10.10.0.65
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.0.65, timeout is 2 seconds:
!!!!!
Pošto su setovani DNS serveri koji de razrešavati upite, domen lab.rs kao i komanda kojom se
naznačava, da se za nepoznate komande, ruter obrati serveru za razrešavanje domena.
ip domain-lookup
ip domain name lab.yu
ip name-server 212.200.190.166 212.200.191.166
Mogude je pingovati google.com kao URL adresu, i DNS de razrešiti upit:

R1# ping google.com
PING google.com (172.217.18.78) 56(84) bytes of data.
--- google.com ping statistics ---

Važna napomena:
Sa HP2 računara sa IP adresom 10.10.0.64 nije mogude pingovati ruter R1 i IP adresu Gi0/1
interfejsa sa IP adresom 10.10.0.66, zato što ICMP (Internet Control Message Protocol) paket zna da
izađe na gejtvej 10.10.0.1 ali ne može da se vrati po istom interfejsu kojim je izašao. HP2 odbacuje taj
paket, jer ga je on inicirao. Ne zna da ga pošalje preko Loopback interfejsa i IP 127.0.0.1 na IP adresu
10.10.0.66. To se može proveriti kada se sa rutera pinguje „Broadcast“ IP adresa 255.255.255.255.
Uređaj sa IP adresom 10.10.0.66 se ne javlja. Isti je slučaj kada se želi sa R1 rutera pingovati HP2
računar. Zato nije mogude na istom računaru imati VMWare Worksation sa podignutim serverom i
GNS3 sa podignutim ruterom koji žele da komuniciraju. Ping sa rutera na server ne može da prođe.
Zbog komande kojom se konfiguriše NTP (Network Time Server) server ruter dobija tačno
vreme:
R1(config)#ntp server 212.200.13.22
R1(config)#clock timezone CET +1
40
12. Konfiguracija lokalnog logovanja na

mrežnom uređaju
Na mrežnom uređaju nisu uključeni AAA servisi, te se u konfiguraciji može videti:

no aaa new-model
To znači da se autentifikacija može pojedinačno primeniti na ulazne interfejse mrežnog

uređaja, kao što je konzola, pomodni (aux) port ili virtuelni:
R1(config)# line console 0
R1(config-line)# password cisco123
R1(config)# line aux 0 Auxilarry (pomodni port za backup preko ISDN linije i OOB)
R1(config)# line vty 0 4
Tako da u slučaju konektovanja konzolnog kabla, ili pokušaja telneta, mrežni uređaj de pitati za
ovu šifru.
Mogude je defininati I drugi nivo autentifikacije, koji mrežni uređaj zahteva ukoliko se želi
pristupiti Enable (EXEC) modu:
R1(config)# enable secret cisco
Kako bi se definisao preferirani način pristupa urešaju (in smer), potrebno je konfigurisati
transportni način na vty ulaznu liniju:
R1(config-line)# transport ?
input Define which protocols to use when connecting to the terminal server
output Define which protocols to use for outgoing connections
preferred Specify the preferred protocol to use
R1(config-line)# transport input ?

all All protocols
mop DEC MOP Remote Console Protocol
none No protocols
pad X.3 PAD
rlogin Unix rlogin protocol
ssh TCP/IP SSH protocol
telnet TCP/IP Telnet protocol
udptn UDPTN async via UDP protocol
v120 Async over ISDN
R1(config-line)# transport input telnet
Pošto još nije ruter podešen da prima ssh konekcije, ved samo telnet, ako pokušamo ssh na IP
adresu rutera: R1# ssh –l marko –v 10.10.0.66, dobidemo poruku o odbijanju:
% Connection refused by remote host
41
Da bi se, pored telnet protokola koji prenosi komunikaciju između servera i klijenta u
tekstualnom modu i podložan je otkrivanju, koristi se protokol koji entriptuje tu komunikaciju. To je
SSH (Secure Shell) protokol.Na ruteru se mora eksplicitno omoguditi:
R1(config)#crypto key generate rsa general-keys modulus ?
<360-2048> size of the key modulus [360-2048]
R1(config)#crypto key generate rsa general-keys modulus 1024

The name for the keys will be: R1.lab.rs
% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Mar 12 21:41:48.467: %SSH-5-ENABLED: SSH 1.99 has been enabled
Da bi se SSH protokol omogudio na uređaju, potrebno je prethodno podesiti domen. U našem

slučaju, to je “lab.rs”.
Proveriti da li su generisani ključevi za komunikaciju korišdenjem prethodno definisanog
modusa od 1024 bita:
R# show crypto key mypubkey rsa
% Key pair was generated at: 22:41:48 CET Mar 12 2018
Key name: R1.lab.rs
Storage Device: not specified
Usage: General Purpose Key
Key is not exportable.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00CE766E
D60C9BC9 E5F3E6C1 CD40EFC9 B764CC2C 3D16CC4A 84E642B8 7C849D50 FAC457E9
4EE40827 20E77A87 46D03325 FB45E524 757DA870 AE896DD7 F16AE215 B5A30ACB
AE3F451B 1C3EF7D6 12C93710 EEDB4ED8 A803E3D9 CB4DFC89 DC718A50 C6E7A9E6
21216309 E85F801D 953A84A8 619C25EC 3346542E 9567F537 3C536283 37020301 0001
% Key pair was generated at: 22:41:48 CET Mar 12 2018
Key name: R1.lab.rs.server
Temporary key
Usage: Encryption Key
Key is not exportable.
Key Data:
307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00EC29B3 E9109FC2
7E2440F0 F578D544 8461D80C 064015DF 4BB43181 5AD26CA8 2CB8BE4F 9B6173DB
98CB7F23 6125D68D 36029487 8218A5F1 86A6CE1D 53D06341 DD19B434 1D25BDA5
49B018BC 716BAF7C 08B33810 E12664F7 1597214E 5498F7D0 91020301 0001
Zatim je potrebno pod ulaznim linijama, ovaj put su to linije od 5 do 15, definisati način
pristupa, a to nije više telnet protokol, ved ssh:
R1(config-line)# exec-timeout 5 0
R1(config-line)# password cisco
R1(config-line)# transport input ssh
Mogude je proveriti sa samog mrežnog uređaja konektivnost ssh protokolom, tako što se
definiše IP adresa na koju želi da se klijent konektuje. Pošalje se korisničko ime, definiše verzija ssh
protokola.
R1#ssh -l marko ?
-c Select encryption algorithm
-m Select HMAC algorithm
-o Specify options
-p Connect to this port
-v Specify SSH Protocol Version
WORD IP address or hostname of a remote system
R1#ssh -l marko -v 2 10.10.0.66

Password:
R1>
42
Šifre mogu biti vidljive u ispisu konfiguracije mrežnog uređaja što predstavlja izvesni
bezbednosni propust. Sve šifre se mogu kriptovati koristedi MD5 (Message Digest 5) način enkripcije,
ukoliko je uključena opcija na ruteru:
R1(config)# service password-encryption
U ispisu konfiguracije se vidi kriptovana enable šifra:

enable secret 5 $1$qFvo$YEck4lJrNtxpP1YBXjrBO/
Da bi se napravila lokalna baza korisnika, potrebno je definisati korisnička imena. Korisničko

ime i lozinka su osetljivi na velika slova (eng. Case Sensitive):
username marko password cisco123
U ispisu konfiguracije se ne vidi u Clear Text formatu šifra ved enkriptovana koristedi MD5
enkripciju:
show run | include username
username marko privilege 15 secret 5 $1$CTk5$ypwfUJxX7qyvhiZJ4qzj80
U ovom slučaju je privilegovani nivo 15 najviši nivo koji ima pravo da menja
konfiguraciju uređaja i dozvoljen mu je ulaz u sve modove. Nasuprot njemu, privilegovani
nivo 0 ima pravo samo da korisni pet komandi: Disable, enable, exit, help i logout.
Da bi se na ruteru uključio AAA servis, u konfiguracionom modu kucati komandu:

aaa new-model
Mogude je definisati lokalni AAA servis na mrežnom uređaju, koji je pouzdaniji od login local.
Nakon ove konfiguracije, mogude je uspostaviti i sekundarn metod autentifikacije, kao što je npr.
korišdenjem TACACS+/RADIUS servera.
aaa authentication login default local-case
Ova komanda definiše metod autentifikacije, da bude lokalna, i osetljiva na mala i velika slova.
Pošto je broj simultanih telnet/ssh sesija koje mrežni uređaj može da podrži ograničen, tj. broj
korisnika koji su telnetovani na uređaj ne može da prelazi 15, potrebno je neaktivne sesije posle
izvesnog vremena nekorišdenja raskačiti (disconnect). Pod ovim virtuelnim (vty) ulaznim linijama je
mogude definisati vreme koliko de ved uspostavljena telnet/ssh sesija ostati aktivna nakon prestanka
unosa komandi (eng. inactive interval):
R1(config-line)# exec-timeout ?
<0-35791> Timeout in minutes
R1(config-line)# exec-timeout 60 ?
<0-2147483> Timeout in seconds
R1(config-line)# exec-timeout 60 0
Konfigurisano je da sesija ostane aktivna 60 minuta nakon prestanka unosa komandi, nakon
čega se sesija raskida i korisnik mora ponovo da se autentifikuje. Nakon unosa svake komande,
poseban tajmer se resetuje i počne da odbrojava do 60 minuta. Tada se na ekranu terminala pojavi
ispis koji obaveštava korisnika da je vreme sesije isteklo:
43
Inactive timeout reached, Logging out
Tako se otvara prostor za druge korisnike koji žele da pristupe uređaju.
Na konzoli se najčešde ova opcija onemogudava, pa se konfiguriše:

R1(config)# line console
no exec-timeout
Ukinuti logovanje na konzolu:

R1(config)# aaa auth login no-login local none
R1(config-line)# loging auth no-login
Da bi se proverilo ko je ulogovan na ruter, i na koji ulaz je ušao, kucati:

R1# who
Line User Host(s) Idle Location
* 0 con 0 marko idle 00:00:00
2 vty 0 marko idle 00:29:22 10.10.0.62
Komande koje služe za logovanje uspešnih i neuspešnih logovanja na mrežni uređaj:

R1(config)#login on-success log
R1(config)#login on-failure log
Na kraju se u logu rutera vidi uspešno konektovan korisnik “marko”:

Login Success [user: marko] [Source: 10.10.0.62] [localport: 22] at 13:50:11
CET Tue Mar 13 2018
Da bi se proverilo ko je od korisnika ulogovan na mrežni uređaj kroz ulazne vty linije, kucati
komandu u exec/enable modu:
R1#show user
Line User Host(s) Idle Location
0 con 0 marko idle 00:03:10
2 vty 0 marko idle 00:01:30 10.10.0.62
7 vty 5 marko idle 00:00:18 10.10.0.62
* 8 vty 6 marko idle 00:00:00 10.10.0.62
Zvezdicom je označena ulazna vty linija koja pripada korisniku (u našem slučaju je to 6) koji ju
je zatražio. Ukoliko je korisnik sa privilegijama 15 a želi da drugog korisnika diskonektuje, kuca se
komanda: disconnect broj vty linije .
44
13. Konfiguracija TACACS autentifikacije na

mrežnom uređaju
Autentifikacija predstavlja proces dozvoljavanja ili odbijanja pristupa korisnika mrežnom

uređaju.
aaa authentication login {default | list-name} group {group-name | radius |
tacacs+} method1 [method2...]
Da bi se podesila AAA autentifikacija prilikom logovanja: default

Da bi se napravila default-na lista koja de se primenjivati na vty liniji, ukoliko druga lista nije
definisana, koristiti login authentication komandu sa default argumentom pratedi metodom koja de
se u toj situaciji koristiti:
list-name ime liste
group definiše ime server grupe, u kojoj de se definisati TACACS serveri.
Method Metoda koja se koristi prilikom logovanja, a može se koristiti autentifikacija
korišdenjem TACACS+ servera (tacacs), lokalne baze podataka (local), pita se za enable password
prilikom autentifikacije (enable) i da se ne koristi autentifikacija (none).
Mogude je definisati da mrežni uređaj prvo koristi udaljeni (TACACS+) način autentifikacije (a
ne lokalni), a ako TACACS+ server nije dostupan, koristiti sledede definisani način autentifikacije, što
bi bio Local:
aaa authentication login default group tacacs+ [ enable | local ]
Optione komande ukoliko se želi definisati sekundarni način logovanja:
enable (failover to enable password, sekundarni metod autentifikacije)
default (osnovni način autentifikacije za sve vrste ulaza: console, aux, telnet, ssh).
Ukoliko se ne definiše sekundarni način autentifikacije posle TACACS+, ukoliko server nije
dostupan, ne postoji način za logovanje na mrežni uređaj. Jedina opcija je Password Recovery
ulaskom u Rommon mode.
Za logovanje koristiti šifru definisanu pod line (bilo vty bilo console):
aaa authentication login telnet-pristup line
Mi demo koristiti listu za pristup telnet-pristup (ACL eng. Access List) gde demo definisati sa
kojih IP adresa sme da se pristupa mrežnom uređaju.
45
aaa authentication login telnet-pristup group tacacs+ local
Definisati TACACS+ server sa kojim mrežni uređaj treba da komunicira. U komunikaciji se koristi
ključ za komunikaciju, koji mora biti isti i na TACACS serveru da bi se komunikacija između mrežnog
uređaja, u ovom slučaju klijenta, i TACACS servera, u ovom slučaju servera, uspostavila.
Ukoliko mrežni uređaj treba da komunicira samo sa jednim TACACS serverom, koristiti
komandu sa single-connection atributom:
tacacs-server host 10.10.0.65 key 7 cisco single-connection
U mreži sa dva TACACS servera, kao što je slučaj sa mrežom Telekoma Srbija, koristiti odvojene
komande za definisanje IP adrese servera i ključ za komunikaciju. U ovom slučaju, ključ de biti
korišden u komunikaciji sa oba TACACS+ servera:
tacacs-server host 195.178.45.12
tacacs-server key 7 09585430GJ890D8H15
Ukoliko se ključevi za komunikaciju razlikuju od servera do servera, koristiti ispis:

tacacs-server host 195.178.45.12 key 7 09585490D8300D8H15
tacacs-server host 195.178.45.13 key 7 5797GJ890GJ0A87G89
Definisati listu za pristup gde se određuje sa koje IP adrese sme da dođe pokušaj telneta. Sve
ostale pokušaje sa drugih IP adresa prikazivati u ispisu loga:
access-class 1 in
10 permit 10.10.0.66
20 deny any log
Zatim se pod ulaznim interfejsom, a to je line console, aux (auxiliary) vty 0 4 za Telnet pristup,
ili vty 5 15 za SSH, definiše način pristupa:
line vty 0 4 aaa
access-class 1 in
Kako je ACS server na IP adresi 10.10.0.66, stavili smo tu adresu u listu za pristup. Međutim,
pokušaj telneta na ruter je odbijen, jer telnet paket koji je došao ruteru u polju Source IP Address ima
10.10.0.62, što je fizička adresa HP1 računara. Ukoliko pristupamo sa IP adrese koja nije propuštena u
listi za pristup, u logu se pojavljuje poruka:
Mar 10 23:41:26.402: %SEC-6-IPACCESSLOGNP: list 1 denied 0 10.10.0.62 -> 0.0.0.0, 1 packet
Promeniti listu za pristup da se omogudava pristup sa adrese 10.10.0.62:

access-list 1 permit 10.10.0.62
Sada je telnet sa račuanara sa IP adresom 10.10.0.62 mogud.

Da bi se striktno definisalo sa kog interfesa se očekuje TACACS poruka, definisati izvorni
interfejs:
ip tacacs source-interface Gi1/0 [ Vlan11 ]
Ova adresa se koristi dok god je interfejs podignut, u „up“ stanju. Zato je bolje definisati
Loopback interfejs kao source interface na ruteru, ili vlan ukoliko se radi o sviču.
R1(config)#aaa ?
new-model Enable NEW access control commands and functions.(Disables OLD commands.)
R1(config)#aaa new-model
46
R1(config)#?
Configure commands:
aaa Authentication, Authorization and Accounting.
aal2-profile Configure AAL2 profile
access-list Add an access list entry
alias Create command alias
appfw Configure the Application Firewall policy
application Define application
archive Archive the configuration
arp Set a static ARP entry
async-bootp Modify system bootp parameters
atm Enable ATM SLM Statistics
backhaul-session-manager Configure Backhaul Session Manager
banner Define a login banner
bba-group Configure BBA Group
beep Configure BEEP (Blocks Extensible Exchange
Protocol)
bfd BFD configuration commands
boot Modify system boot parameters
bridge Bridge Group.
buffers Adjust system buffer pool parameters
busy-message Display message when connection to host fails
call Configure Call parameters
Komande korišdene u vežbi:
username marko privilege 15 secret cisco123

ip tacacs source-interface Gi1/0
tacacs-server key cisco
no tacacs-server ?
directed-request Allow user to specify tacacs server to use with
`@server'
no tacacs-server directed-request
aaa new-model
aaa authentication login default group ACSTacacs local
The server-group "ACSTacacs" is not defined. Please define it.
aaa group server tacacs+ ACSTacacs

server 10.10.0.65
aaa authentication login default group ACSTacacs local
aaa accounting update ?

newinfo Only send accounting update records when we have new acct info.
periodic Send accounting update records at regular intervals.
aaa accounting update newinfo
line vty 0 4
login authentication default
line vty 5 15
login authentication default
47
48
14. Konfiguracija TACACS autorizacije na

mrežnom uređaju
Nakon uspešne autentifikacije korisnika, počinje proces autorizacije, tj. definisanja privilegija
korisnika.
Poruke koje TACACS server vrada TACACS klijentu, su PASS (dozvoljena autorizacija) ili FAIL
(odbijena autorizacija) poruke.
U ovom primeru, korisnik mora da se autorizuje TACACS+ serverom, pre nego što mu se
dozvoli ulazak u EXEC mod na ruteru.
R1(config)#aaa authorization ?
config-commands For configuration mode commands.
console For enabling console authorization
exec For starting an exec (shell).
R1(config)#aaa authorization exec default group tacacs+ ?

group Use server-group.
if-authenticated Succeed if user has authenticated.
local Use local database.
none No authorization (always succeeds).
Ako TACACS server nije dostupan, koristi se lokalno definisani korisnik tako što je drugi metod
posle TACACS+ definisan grupom ACSTacacs, local (poziva se na lokalnu bazu):
R1(config)# aaa authorization exec [ named authorization list | default ] group
tacacs+ local if-authenticated
Ukoliko se korisnik autentifikuje, udi de direktno u EXEC/enable mod na mrežnom uređaju.

Cisco-ova preporuka jeste da se autorizacija korisnika obavlja sa svakim nivoom pristupa
mrežnom uređaju. To praktično znači da de postojati različiti autorizacioni profili za privilegovani nivo
0, zatim za nivoe od 1 do 14, i na kraju za privilegovani nivo 15.
R1(config)# aaa authorization commands 15 [ named authorization list | default ]
group tacacs+ local
R1(config)# aaa authorization commands 1 [ named authorization list | default ]
group tacacs+ local
Obično se ne definiše posebna lista (eng. Named authorization list) već se primenjuje
default.
Primeniti autorizaciju na ulazne vty linije:
R1(config-line)# authorization exec default
R1(config-line)# authorization commands 15 [ named authorization list | default ]
R1(config-line)# authorization commands 1 [ named authorization list | default ]
Mrežni uređaj nakon ulaska korisnika u konfiguracioni mod (unosom komande

configure terminal), više ne proverava kod TACACS servera da li korisnik sme da unosi
određene komande. Ukoliko želimo da se svaka komanda koju korisnik upućuje mrežnom
49
uređaju, posebno autorizuje na TACACS serveru i nakon ulaska u konfiguracioni mod,

koristiti komandu:
R1(config)# aaa authorization config-commands

aaa authorization exec ExecMod group ACSTacacs local if-authenticated
aaa authorization commands 1 level-1 group ACSTacacs local
aaa authorization commands 15 level-15 group ACSTacacs local
line vty 0 4
authorization commands 1 level-1
authorization exec ExecMod
line vty 5 15
authorization exec ExecMod
50
15. Konfiguracija TACACS accounting-a

Kada se korisnik autorizuje za korišdenje mrežnog uređaja, AAA accounting proces generiše
start poruku, nakon čega počinje proces beleženja svih komandi. Prilikom raskidanja telnet/ssh sesije
između klijenta i mrežnog uređaja, stop poruka se generiše i proces snimanja unetih komandi na AAA
serveru prestaje.
Definiše se logovanje svih komandi korisnika koji se nalaze u EXEC/enable modu mrežnog
uređaja:
R1(config)# aaa accounting exec [accounting group | default] start-stop group tacacs+
R1(config)# aaa accounting commands 1 [accounting group level-1 | default] start-stop group
tacacs+
R1(config)# aaa accounting commands 15 [accounting group level-15 | default] start-stop group
tacacs+
Dodati accounting pod vty ulazne linije:

R1(config-line)# accounting exec [ default | accounting group]
R1(config-line)# accounting commands 1 [accounting group level-1 | default]
R1(config-line)# accounting commands 15 [accounting group level-15 | default]
R1#debug aaa accounting

AAA/BIND(00000024): Bind i/f
AAA/ACCT/EVENT/(00000024): CALL START
Getting session id for NET(00000024) : db=66A94298
AAA/ACCT(00000000): add node, session 32
AAA/ACCT/NET(00000024): add, count 1
Getting session id for NONE(00000024) : db=66A94298
R1(config-line)#
Mar 12 10:28:18.633: AAA/ACCT/EVENT/(00000024): EXEC DOWN
R1(config-line)#
AAA/ACCT/EVENT/(00000024): CALL STOP
AAA/ACCT/CALL STOP(00000024): Sending stop requests
AAA/ACCT(00000024): Send all stops
AAA/ACCT/NET(00000024): STOP
AAA/ACCT/NET(00000024): Method list not found
AAA/ACCT(00000024): del node, session 32
AAA/ACCT/NET(00000024): free_rec, count 0
AAA/ACCT/NET(00000024) reccnt 0, csr TRUE, osr 0
AAA/ACCT/NET(00000024): Last rec in db, intf not enqueued
13030 TACACS+ authentication request missing a User name
22017 Selected Identity Source is DenyAccess
51
username: marko
password:
R1#show priviledge
Command authorization failed.
AAA: parse name=tty2 idb type=-1 tty=-1

AAA: name=tty2 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=2 channel=0
AAA/MEMORY: create_user (0x65EF196C) user='marko' ruser='R1' ds0=0 port='tty2'
rem_addr='10.10.0.62' authen_type=ASCII service=NONE priv=1 initial_task_id='0', vrf=
(id=0)
tty2 AAA/AUTHOR/CMD(4016519387): Port='tty2' list='level-1' service=CMD
AAA/AUTHOR/CMD: tty2(4016519387) user='marko'
tty2 AAA/AUTHOR/CMD(4016519387): send AV service=shell
tty2 AAA/AUTHOR/CMD(4016519387): send AV cmd=show
R1(config)#
tty2 AAA/AUTHOR/CMD(4016519387): send AV cmd-arg=privilege
tty2 AAA/AUTHOR/CMD(4016519387): send AV cmd-arg=<cr>
tty2 AAA/AUTHOR/CMD(4016519387): found list "level-1"
tty2 AAA/AUTHOR/CMD(4016519387): Method=ACSTacacs (tacacs+)
AAA/AUTHOR/TAC+: (4016519387): user=marko
AAA/AUTHOR/TAC+: (4016519387): send AV service=shell
AAA/AUTHOR/TAC+: (4016519387): send AV cmd=show
AAA/AUTHOR/TAC+: (4016519387): send AV cmd-arg=privilege
AAA/AUTHOR/TAC+: (4016519387): send AV cmd-arg=<cr>
R1(config)#
Mar 12 18:13:15.135: AAA/AUTHOR (4016519387): Post authorization status = FAIL
Mar 12 18:13:15.135: AAA/MEMORY: free_user (0x65EF196C) user='marko' ruser='R1'
port='tty2' rem_addr='10.10.0.62' authen_type=ASCII service=NONE priv=1 vrf= (id=0)
Izgled jednog izveštaja u TACACS accounting za korisnika „marko“.
Day Pass Fail Total Fail % Avg Response Time (ms) Peak Response Time (ms)
March 12, 2018 11 17 28 60.71 3.43 8

Authentications By Failure Reason
Failure Reason Total
22017 Selected Identity Source is DenyAccess 13

22040 Wrong password or invalid shared secret 2
22056 Subject not found in the applicable identity store(s). 2
Authentications By Network Device
Network Device Pass Fail Total Fail % Avg Response Time (ms) Peak Response Time (ms)
52
R2 11 17 28 60.71 3.43 8
Authentications By Access Service

Access Service Pass Fail Total Fail % Avg Response Time (ms) Peak Response Time (ms)
ADMINISTRATORS 11 17 28 60.71 3.43 8
Authentications By Identity Store

Identity Store Pass Fail Total Fail % Avg Response Time (ms) Peak Response Time (ms)
DenyAccess 0 13 13 100.00 0.31 1

Internal Users 11 2 13 15.38 6.92 8
Authentications By Identity Group

Identity Group Pass Fail Total Fail % Avg Response Time (ms) Peak Response Time (ms)
All Groups:Administrators 11 2 13 15.38 6.92 8
Authentications By Network Device Group

Network Device Group Pass Fail Total Fail % Avg Response Time (ms) Peak Response Time (ms)
Device Type:All Device Types:Routers,

11 17 28 60.71 3.43 8
Location:All Locations:HP2
Authentications By ACS Instance

ACS Instance Pass Fail Total Fail % Avg Response Time (ms) Peak Response Time (ms)
ACSTacacs 11 17 28 60.71 3.43 8

aaa accounting exec EXEC start-stop broadcast group ACSTacacs
aaa accounting commands 1 ACC1 start-stop group ACSTacacs
aaa accounting commands 15 ACC15 start-stop group ACSTacacs
line vty 0 4
accounting commands 1 ACC1
accounting exec EXEC
line vty 5 15
accounting exec EXEC
53
54
16. Dodavanje AAA servisa korišdenje

Security Device Manager (SDM)
Dodavanje AAA servisa na ruter može se uraditi preko komandne linije unosom komandi, tzv.
CLI (Command Line Interface) ali i preko grafičkog interfejsa, ondosno Graphical User Interface (GUI).
Za tu svrhu se koristi https servis podignutom na ruteru, a servis se zove Security Device Manager
(SDM).
Konfigurisanje AAA servisa preko web interfejsa rutera i Service Device Manager (SDM)
Da bi se dodali AAA servisi na ruter, kliknuti na Additional Tasks

55
Otvara se padajudi meni za između ostalog, konfigurisanje svih AAA servisa
Otvara se padajudi meni za između ostalog, konfigurisanje svih AAA servisa
Dodavanje AAA servisa na mrežni uređaj
56
Definisanje korisnika
57
58
17. Konfiguracija SSH klijenta na računaru
Pristup mrežnom uređaju se najčešde zatražuje telnet ili SSH (Secure Shell) protokolom
koristedi neki od terminal softvera, poput CMD - Command Prompt-a u Windows okruženju, Terminal
u Mac OSx okruženju, ali i Putty, Tera Term i SecureCRT.
SecureCRT predstavlja poplularni SSH i Telnet klijent i terminal emulator kompanije VanDyke
Software. Mogude je definisati mrežne uređaje sa IP adresama, ali i obezbediti automatsko logovanje
slanjem predefinisanih korisničkih imena i šifara.
SecureCRT prozor sa leve strane i predefinisane sesije u prozoru sa desne
Mogude je napraviti telnet sesiju sa predefinisanim slanjem imena i šifre, zatim komande enable I
enable šifre, što nas dovodi pravo u EXEC mod
59
Ipak prilikom prvog logovanja putem SSH protokola, dobijena je greška da je razmena ključeva
između servera i klijenta neuspešna, jer server podržava samo metodu diffie-hellman. Zato je
potrebno u SSH klijentu ručno dodati ovu metodu za razmenu.
Dobija se poruka koja obaveštava klijent da je razmena ključa u toku, i da je mogude prihvatiti i
zapamtiti podešavanja.
ACS Serveru se, osim konzolno može pridi i preko SSH protokola na IP adresu Gi0 interfejsa, tj.
10.10.0.66.
Izgled SecureCRT sesije za ACSMarko hostname
60
18. Komunikacija između TACACS

servera i mrežnog uređaja
Da bi na serveru proverili proces autentifikacije, kliknuti u levom meniju Monitoring and

Repords i Launch Monitoring and Report View:
Otvora se novi tab: https://10.10.0.65/acsview/ i kliknuti pod Catalog/AAA protocol, nadi

TACACS Authentication i otvoriti.
Dobija se izveštaj o pogrešnim i ispravnim pokušajima autentifikacije.
Da bi se videla komunikacija između servera i telnet klijenta, uključiti debugging opciju na

ruteru. Ukoliko je korisnik ved priključen na ruter putem telneta ili SSH, a ne preko konzole koja
prikazuje sve log poruke u realnom vremenu, potrebno je uključiti tu opciju iz EXEC moda: terminal
monitor. Isključivanje ove opcije dolazi u drugačijem obliku od standarnde, sa prefiksom no:
terminal no monitor.
R1#debug tacacs ?
accounting TACACS+ protocol accounting
authentication TACACS+ protocol authentication
authorization TACACS+ protocol authorization
events TACACS+ protocol events
packet TACACS+ packets
R1#debug tacacs events

TACACS+ events debugging is on
61
R1#debug tacacs packet

TACACS+ packets debugging is on
R1#debug aaa authentication
TACACS+ authentication debugging is on
Mogude je uključiti debugging za događaje, pakete i autentifikaciju.

Sa rutera je mogude ručno pokrenuti TACACS upit ka serveru slanjem korisničkog imena i šifre.
Ovde postoji nekoliko odgovora na različite slučajeve:
Primer odsustva TACACS servera na definisanoj adresi:
R1#test aaa group ACSTacacs marko ******* legacy
Attempting authentication test to server-group ACSTacacs using tacacs+
No authoritative response from any server.
Primer odbijene autentifikacije od strane TACACS servera:

R1(config)#do test aaa group ACSTacacs marko ******* legacy
User authentication request was rejected by server.
Primer uspostave AAA sesije sa TACACS serverom za zadatog korisnika:

R1#test aaa group ACSTacacs marko ******* legacy
User was successfully authenticated.
Telnetovati se na 10.10.0.66 sa drugog računara:

telnet 10.10.0.66
username: milan kucamo pogrešno korisničko ime
password: ukucati proizvoljnu šifru za pogrešno korisničko ime
% Authentication failed
Log na ruteru pokazuje pokušaj autentifikacije:

Mar 10 21:31:46.300: AAA/BIND(00000008): Bind i/f
Mar 10 21:31:46.304: AAA/AUTHEN/LOGIN (00000008): Pick method list 'default'
Na ACS serveru u logu se javila poruka: „22056 Subject not found in the applicable identity
store(s)“, a u koloni User se pojavio korisnik milan koji nije definisan pod „Users and Identity
Stores/Identity Groups/Users“. Kada se klikne na grešku koja je u pretraživaču predstavljena kao link,
dobija se obrašnjenje poruke:
Kucati drugu šifru od one definisane na TACACS serveru:

username: marko
password:
Zbog greške u konfiguraciji identiteta za Administratorsku grupu, gde je bilo setovano „Deny
Access“, nije se moglo logovati sa korisničkim imenom na mrežni uređaj. U logu ACS servera se
javljala greška: 22017 Selected Identity Source is DenyAccess
62
Prilikom logovanja na ruter i kucnja TACACS korisničkog imena i lozinke, ruter je odbijao da
autentifikuje korisnika, jer je njegovo ime bilo u grupi Administrators:
username: marko
password:
Ukoliko je uključen proces debug aaa authentication tacacs event, debug aaa authentication
tacacs packet, debug aaa authentication tacacs, debug aaa authorization, debug aaa accounting,
može se videti da
AAA/BIND(0000002D): Bind i/f
AAA/ACCT/EVENT/(0000002D): CALL START
Getting session id for NET(0000002D) : db=65DB6694
AAA/ACCT/NET(0000002D): add, count 1
Getting session id for NONE(0000002D) : db=65DB6694
AAA/ACCT/EXEC(0000002D): Pick method list 'EXEC'
AAA/ACCT/SETMLIST(0000002D): Handle 8D00000A, mlist 65FA0CA4, Name EXEC
Getting session id for EXEC(0000002D) : db=65DB6694
AAA/ACCT(0000002D): add common node to avl failed
AAA/ACCT/EXEC(0000002D): add, count 2
AAA/ACCT/EVENT/(0000002D): EXEC DOWN
AAA/ACCT/EXEC(0000002D): Accounting record not sent
AAA/ACCT/EXEC(0000002D): free_rec, count 1
AAA/ACCT/EXEC(0000002D) reccnt 1, csr FALSE, osr 0
AAA/ACCT/EVENT/(0000002D): CALL STOP
AAA/ACCT/CALL STOP(0000002D): Sending stop requests
AAA/ACCT(0000002D): Send all stops
AAA/ACCT/NET(0000002D): STOP
AAA/ACCT/NET(0000002D): Method list not found
AAA/ACCT(0000002D): del node, session 41
AAA/ACCT/NET(0000002D): free_rec, count 0
AAA/ACCT/NET(0000002D) reccnt 0, csr TRUE, osr 0
AAA/ACCT/NET(0000002D): Last rec in db, intf not enqueued
Potrebno je setovati „Select“ pa izabrati „Internal Users“, nakon čega se korisnik marko
autentifikuje i autorizuje uspešno.
Nakon toga se u logu može videti uspešno konektovanje korisnika marko:

AAA/BIND(0000002E): Bind i/f
AAA/ACCT/EVENT/(0000002E): CALL START
Getting session id for NET(0000002E) : db=65DB6694
AAA/ACCT/NET(0000002E): add, count 1
Getting session id for NONE(0000002E) : db=65DB6694
AAA/AUTHOR (0x2E): Pick method list 'default'
AAA/AUTHOR/EXEC(0000002E): processing AV cmd=
AAA/AUTHOR/EXEC(0000002E): Authorization successful
AAA/ACCT/EXEC(0000002E): Pick method list 'EXEC'
AAA/ACCT/SETMLIST(0000002E): Handle 8D00000A, mlist 65FA0CA4, Name EXEC
Getting session id for EXEC(0000002E) : db=65DB6694
AAA/ACCT(0000002E): add common node to avl failed
AAA/ACCT/EXEC(0000002E): add, count 2
AAA/ACCT/EVENT/(0000002E): EXEC UP
AAA/ACCT/EXEC(0000002E): Queueing record is START
AAA/ACCT(0000002E): Accouting method=ACSTacacs (TACACS+)
AAA/MEMORY: create_user (0x65C5D708) user='marko' ruser='NULL' ds0=0 port='tty2'
rem_addr='10.10.0.62' authen_type=ASCII service=ENABLE priv=15 initial_task_id='0',
AAA/MEMORY: free_user (0x65C5D708) user='NULL' ruser='NULL' port='tty2' rem_addr='10.10.0.62'
authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
AAA/ACCT/EXEC(0000002E): START protocol reply PASS
63
AAA/ACCT(0000002E): Send START accounting notification to EM successfully
Log na ACS serveru pokazuje grešku: 22040 Wrong password or invalid shared secret
Pošto smo na ACS serveru pod Network Devices and AAA Clients za R1 isprva definisali
pogrešnu IP adresu, npr. 10.10.0.68, na serveru se pojavila poruka 13017 Received TACACS+ packet from
unknown Network Device or AAA Client.
Promenili smo ključ za komunikaciju rutera R1 i TACACS servera nakon čega server nije
dostupan:
R1(config)#tacacs-server key cisco1
Nakon toga se koristi drugi metod za autentifikaciju korisnika, a to je local, definisan

komandom username marko privilege 15 secret cisco123 na samom uređaju.
User Access Verification
Username: marko
Password: kucana TACACS šifra
Koristi se druga metoda logovanja definisana komandom:

User Access Verification
Username: marko
Password: cisco123
13011 Invalid TACACS+ request packet - possibly mismatched Shared Secrets
Debug na ruteru R1 daje ispis:

T+: Version 192 (0xC0), type 1, seq 1, encryption 1
T+: session_id 1935559244 (0x735E4A4C), dlen 22 (0x16)
T+: type:AUTHEN/START, priv_lvl:1 action:LOGIN ascii
T+: svc:LOGIN user_len:0 port_len:4 (0x4) raddr_len:10 (0xA) data_len:0
T+: user:
T+: port: tty2
T+: rem_addr: 10.10.0.62
T+: data:
T+: End Packet
AAA/AUTHEN/LOGIN (0000000D): Pick method list 'default'
T+: Version 192 (0xC0), type 1, seq 1, encryption 1
T+: session_id 3452630762 (0xCDCAF6EA), dlen 22 (0x16)
T+: type:AUTHEN/START, priv_lvl:1 action:LOGIN ascii
T+: svc:LOGIN user_len:0 port_len:4 (0x4) raddr_len:10 (0xA) data_len:0
64
T+: user:
T+: port: tty2
T+: rem_addr: 10.10.0.62
T+: data:
T+: End Packet
Username: marko
Password: cisco123 koristi se enable šifra
R1>
Enable šifru proverava ruter, tako da se Authentication failed poruka ne vidi na ACS u logu.
R1> Prompt se promenio u >

enable Udi u EXEC mod
Password: traži se enable šifra
R1#

AAA/MEMORY: create_user (0x668C4268) user='marko' ruser='NULL' ds0=0 port='tty2'
rem_addr='10.10.0.62' authen_type=ASCII service=ENABLE priv=15 initial_task_id='0'
AAA/AUTHEN/START (798099881): port='tty2' list='' action=LOGIN service=ENABLE
AAA/AUTHEN/START (798099881): non-console enable - default to enable password
AAA/AUTHEN/START (798099881): Method=ENABLE kucamo pogrešnu
enable šifru
AAA/AUTHEN(2341180620): password incorrect
AAA/AUTHEN(2341180620): Status=FAIL
AAA/AUTHEN(798099881): Status=GETPASS kucamo tačnu
enable šifru
AAA/AUTHEN/CONT (798099881): continue_login (user='(undef)')
AAA/AUTHEN(798099881): Status=GETPASS
AAA/AUTHEN/CONT (798099881): Method=ENABLE
AAA/AUTHEN(798099881): Status=PASS prihvata se enable šifra
AAA/MEMORY: free_user (0x668C4268) user='NULL' ruser='NULL' port='tty2'
rem_addr='10.10.0.62' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0) Korisnik pristupio sa IP
adrese naznačene u ovom redu loga
username: marko
password: Kucati pravu šifru definisanu na TACACS serveru
R1# ulazak u EXEC enable mod, prompt se promenio u #
R1#show privilege Pokazati koji nivo privilegovanosti poseduje korisnik

Current privilege level is 15 Pokazuje nivo 15 koji je
administratorski
R1#debug aaa authorization

AAA Authorization debugging is on
AAA/BIND(0000001E): Bind i/f

AAA/AUTHOR (0x1E): Pick method list 'default'
AAA/AUTHOR/EXEC(0000001E): processing AV cmd=
AAA/AUTHOR/EXEC(0000001E): Authorization successful
AAA/MEMORY: create_user (0x6607190C) user='marko' ruser='NULL' ds0=0 port='tty2'
rem_addr='10.10.0.62' authen_type=ASCII service=ENABLE priv=15 initial_task_id='0', vrf=
(id=0)
AAA/MEMORY: free_user (0x6607190C) user='NULL' ruser='NULL' port='tty2' rem_addr='10.10.0.62'
authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)
65
AAA Protocol > TACACS+ Authorization Details
ACS session ID : ACSTacacs/310168838/17

Date : March 11, 2018
Generated on March 11, 2018 11:31:13 PM CET
Authorization Details
Status: Passed
Failure Reason:
Logged At: Mar 11,18 11:28:07.676 PM
ACS Time: Mar 11,18 11:28:07.663 PM
ACS Instance: ACSTacacs
Authentication Method: TacacsPlus
Authentication Type:
Header Privilege Level: 1
Command Set: [ CmdAV= ]
User
User Name: marko
Remote Address: 10.10.0.62
Network Device
Network Device Name: R2
Device Type:All Device Types:Routers,
Netwok Device Group:
Location:All Locations:HP2
Device IP Address: 10.10.0.66
Access Policy
Access Service: Default Device Admin
Identity Store:
Selected Shell Profile: Permit Access
Matched Command Set:
Selected Command Set:
Active Directory Domain:
Identity Group: All Groups:Administrators
Access Service Selection Matched Rule: Rule-2
Identity Policy Matched Rule: Default
Selected Identity Stores:
Query Identity Stores:
Selected Query Identity Store:
Group Mapping Policy Matched Rule:
Authorization Policy Matched Rule: Default
66
Authorization Exception Policy Matched Rule:

Other
ACS Session ID: ACSTacacs/310168838/17
Author Reply Status:
ACSVersion=acs-5.5.0.46-B.723
ConfigVersionId=3
DestinationIPAddress=10.10.0.65
DestinationPort=49
Protocol=Tacacs
Type=Authorization
Service=Login
Other Attributes: Port=tty2
Service-Argument=shell
AuthenticationIdentityStore=Internal Users
AuthenticationMethod=Lookup
SelectedAuthenticationIdentityStores=Internal
Users
UserIdentityGroup=IdentityGroup:All
Groups:Administrators
Probati logovanje drugim nalogom koji ima „Read only“ prava:
username: other
password:
R1>enable
Password:
R1#configure
Command authorization failed.
Na ACS serveru u logu TACACS Authorization, javila se poruka:

13025 Command failed to match a Permit rule
ACS Shell Header
ACSView User Network Access Selected
Timestam Failure Reason Command Set Profi Privilege Selected Command Set
Timestamp Name Device Service Authorization Policy
p le Level
Mar Mar
12,18 12,18 13025 Command failed DenyAll
3:36:48.1 3:36:48. to match a Permit rule
other [ CmdAV=enable ] R2 1 User Rule-1 Commands
46 PM 126 PM
Ako bismo želeli da korisniku „other“ damo privilegovani nivo 1, kojom bi mogao da uđe u
enable/EXEC mod i koristi standarnih pet komandi, potrebno je promeniti na ACS serveru da umesto
„Permit Access“ za „Shell Profile“ tj. enable/EXEC mod, stavimo predefinisani nivo privilegija 15
(„priviledge15“).
Nakon ove ispravke, korisnik “other” je dobio privilegovana prava prvog nivoa i prilikom
logovanja i unosa šifre, ulazi pravo u enable/EXEC mod.
67
68
19. Zaključak
ACS server se više ne proizvodi pod tim imenom od 2015. godine. Sada je zamenjen serverom
za „proveru identiteta“ (eng. Identity Services Engine (ISE)) koji se zasniva na politikama pristupa
(eng. Policy-Based Access Control (PBAC)), a ne kao pre na kontrolu pristupa po ulogama.
Cisco Secure Access Control System

NOTE: This product is no longer being sold and might not be supported.
View the End-of-Life Notice to learn:
 End-of-sale and end-of-life dates
 What replacement products are available
 Information about product support
Data Sheets and Literature

Enhanced Network Access Device Management
Meet the new demands for access control management and compliance. Support the complex
policies that these demands require. With the Cisco Secure Access Control System you can define
powerful and flexible policy rules in an easy-to-use GUI.
NOTE: The Cisco ACS is no longer being sold after August 30, 2017, and might not be
supported. View the End-of-Life Notice to learn:
 End-of-sale and end-of-life dates
 What replacement products are available
 Information about product support
Migrate Now for Less

Existing ACS customers get big discounts off Cisco ISE.
 Learn More
Features and Capabilities
The Cisco Secure Access Control System will complement your existing infrastructure. Use it to
enhance visibility and control across the domain. You can centrally manage access policies for device
administration and for wireless and wired 802.1X network access scenarios.
 Receive support for two distinct protocols: RADIUS for network access control and TACACS+
for network device access control
69
 Use multiple databases concurrently for exceptional flexibility in enforcing access policy
 Enjoy more power and flexibility for access control policies that may include authentication
 Get integrated monitoring, reporting, and troubleshooting components, accessible through
an easy-to-use web-based GUI
For physical platform support of ISE, please refer to the Cisco Secure Network Server data
sheet.
End of Software End of

Version End of Sale
Maintenance Support
5.8 30-Aug-17 30-Aug-18 31-Aug-20
5.7 2-May-16 2-May-17 31-May-19
5.6 16-Feb-16 15-Feb-17 28-Feb-19
5.5 15-Apr-15 14-Apr-16 30-Apr-18
4.2 27-Oct-11 26-Oct-12 31-Oct-14
3.3 29-Aug-06 29-Aug-07 28-Aug-09
End-of-Life Chart
70
20. Literatura:
1. Wikipedija URL: https://en.wikipedia.org/wiki/TACACS;

2. LAB Minutes video tutorijali za ACS na YouTube: URL:
https://www.youtube.com/watch?v=VHJTL6Vlt0Q&t=830s ;
3. LAB Minutes video tutorijali za ISE na YouTube: URL:
https://www.youtube.com/watch?v=r09lptl0yK4&list=PL78wjtOCDHvnR8-Lvv3-
Xs2fjWASTSIHd ;
4. Sajt URL: http://geek-university.com/ccna-security/what-is-cisco-acs/ ;
5. CCNA Security Chapter 2: Securing Network Devices PowerPoint prezentacije:
CCNAS_instructorPPT_Ch3.pptx i CCNASv2_InstructorPPT_CH3.pptx;
6. Konfigurisanje AAA Autentifikacije na Cisco ruterima (4_1_Configure AAA Authentication on
Cisco routers.pdf);
7. CCNA Security 640-554.pdf;
8. Omar Santos, John Stuppi - CCNA Security 210-260 Official Cert Guide - 2015.pdf;
9. CCNP Security SISAS 300-208 Official Certification Guide.pdf;
10. Sybex CCSP Complete Study Guide.pdf Wade Edwards, CCIE Todd Lammle. Tom Lancaster,
CCIE Justin Menga, Eric Quinn;
11. Jeremy Cioara CBT Nuggets CCNA Security videos:
https://www.cbtnuggets.com/trainers/jeremy-cioara;
12. Prezentacija Security uređaja na zvaničnom Cisco-vom sajtu: URL:
https://www.cisco.com/c/en/us/products/security/secure-access-control-system/index.html;
13. URL: https://geekdudes.wordpress.com/2015/07/24/installing-and-configuring-tacacs-
server-on-windows-server-2012-and-cisco-router/;
14. Cisco Access Control Security: AAA Administrative Services By Brandon Carroll;
15. Cisco Press 2003 - CCIE Security Exam Certification.pdf;
16. Cisco Press 2003 - CCIE.Self.Study.CCIE.Security.Exam.Certification.Guide.pdf;
17. Cisco Press 2004 - Cisco CCIE Security Student Guide.pdf;
18. Specijalistički rad “Mreža za prenos podataka u Telekomu Srbija”, autor Marko Mitid, Visoka
ICT škola, Beograd 2009.
19. Cisco Press 2004 - Cisco Access Control Security AAA Administration services.pdf;
20. Cisco Secure ACS Server, Deployment Guide CS-ACS 5.X, Covering Detailed Scenario based
Step-By-Step Tutorials;
21. User Guide for Cisco Secure Access Control System 5.5 November 2016.pdf;
22. Cisco Security Appliance Command Line.pdf.
71

Aaa Tacacs Acs Server

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aaa Tacacs Acs Server

Enviado por

Direitos autorais:

Formatos disponíveis

VISOKA ŠKOLA STRUKOVNIH STUDIJA

ZA INFORMACIONE I KOMUNIKACIONE TEHNOLOGIJE

Bezbednost računarskih mreža

Beograd, Mart 2018.

U ovom radu de biti razmotrena primena namenskog servera za omogudavanje pristupa

Na kraju de biti pokazano na mrežnom scenariju u laboratirijskim uslovima, kako se podešava

2. Bezbednost računarskih mreža

3. Pojam AAA servisa

Kako bi se odlučilo ko sme da pristupa podacima i mrežnim uređajima, koristi se princip

Pošto korisnici koji su dobili autentifikacijom dozvolu za pristup a autorizacijom određena

Ova tri servisa: autentifikacja, autorizacija i računovodstvo čine u oblasti bezbednosti

Komunikacija AAA servera sa svojim klijentima, odnosno mrežnim uređajima i računarima,

 Major_version, definise verziju TACACS+ protokola a ispisuje se u formatu:

 Minor_version, definiše broj revizije i kompatibilan je sa starijim verzijama

- TAC_PLUS_AUTHEN=0x01 - tip paketa koji definiše authentifikaciju;

- TAC_PLUS_AUTHOR-0x02 - tip paketa koji definiše authorizaciju;

- TAC_PLUS_ACCT=0x03 - tip paketa koji definiše akaunting.

Mogudnost skidanja enkripcije se koristi isključivo u cilju otklanjanja problema u

 Session_id je proizvoljna vrednost koja služi za identifikaciju određene sesije između

Format TACACS+ zaglavlja

5. Cisco ACS Server

Primer odeljka za replikaciju Primarnog ACS server u sekundarni.

Na serveru se defineše vreme replikacije:

Dodavanje Sekundarnog ACS servera na Primarni, obavlja se u odeljku System Administration/

6. Hardver ACS servera

Slika : Cisco ACS model 1111, polovan se može kupiti na eBay

Dimenzije ACS uređaja

Prikaz ved postojedeg L profila i šrafa za pričvršdivanje na ram ormana

7. Instalacija ACS server softvera

ACS hardver dolazi u pakovanju zajedno sa uputstvom za upotrebu, instalacionim CD-om

Cisco ACS server sa pratedim uputstvom i instalacionim butabilnim CD-om

Podešavanje virtuelne mašine

To boot from hard disk press <Enter>

Available boot options:

<Enter> Boot from hard disk

Please enter boot option and press <Enter>.

Unošenje najvažnijih parametara i restartovanje servera

Proces butovanja Linux kernel-a iz ROM-a (Read Only Memory)

Izgled pozdravne poruke (banner) prilikom logovanja na server.

U konfiguraciji se vidi ved kreiran korisnik sa administratorskim pravima, gde je šifra

ACSTacacs# show version

Cisco Application Deployment Engine OS Release: 2.1

Copyright (c) 2005-2013 by Cisco Systems, Inc.

Version information of installed applications

ACSTacacs# show application status acs

Process 'database' running

ACSTacacs# show memory

ACSTacacs# show inventory

NAME: "Cisco-VM chassis", DESCR: "Cisco-VM chassis"

(*) Hard Disk Count may be Logical.

ACSTacacs# show cpu

ACSTacacs# show disks

disk repository: 3% used (142288 of 5491216)

Provera konektivnosti pingovanjem, opcije su ip (misli se na Ipv4) i ipv6:

--- 10.10.0.1 ping statistics ---

ACSTacacs# ping ip 8.8.8.8 Pingovanje Google-a

--- 8.8.8.8 ping statistics ---

Pošto su setovani DNS serveri koji de razrešavati upite, domen lab.rs:

--- google.com ping statistics ---

ACSTacacs# show ntp

synchronised to NTP server (212.200.13.22) at stratum 4

remote refid st t when poll reach delay offset jitter

* Current time source, + Candidate

Warning: Output results may conflict during periods of changing synchronization.