Configuring Server Based AAA Authentication on Cisco Devices

এই টিউটোরিয়ালে আমরা Server Based AAA সম্পর্কে বিস্তারিত আলোচনা করবো। একটি বড় আকারের নেটওয়ার্কে নেটওয়ার্ক ডিভাইসসমূহে এ্যাকসেস কন্ট্রোলের জন্য Server Based AAA Authentication ব্যবহৃত হয়। এর মাধ্যমে ইউজারদেরকে Authenticate করা ছাড়াও Authorization ও Accounting সুবিধা পাওয়া যায়।

Server Based AAA এর ক্ষেত্রে যখন কোন ইউজার ডিভাইসে লগইনের চেষ্টা করে তখন উক্ত ডিভাইস প্রথমে একটি AAA সার্ভারের সাথে যোগাযোগ করে। AAAA সার্ভারের মধ্যে ইউজারের অথেনটিকেশন সংক্রান্ত যাবতীয় তথ্য থাকে। AAA সার্ভার যদি ইউজারটিকে Valid মনে করে এবং সবুজ সংকেত প্রদান করে কেবলমাত্র তখনই উক্ত ইউজার তার কাঙ্খিত ডিভাইসটিতে লগইন করতে পারে। এই AAA সার্ভার হতে পারে একটি Windows বা Linux বেজড সার্ভার। এছাড়া Cisco এর নিজস্ব প্রোডাক্ট Secure ACS ডিভাইস ব্যবহার করেও AAA সার্ভার কনফিগার করা যায়।

একটি AAA সার্ভার মূলত দুই ধরণের প্রটোকলের যেকোন একটি ব্যবহার করে কাজ করে। এর একটি হলো Terminal Access Control Access Control Server Plus বা TACACS+ এবং অপরটি হলো Remote Authentication Dial In User Service বা RADIUS । TACACS+ ও RADIUS উভয়ই হলো এক ধরণের অথেনটিকেশন প্রটোকল, তবে এদের মধ্যে কিছু পার্থক্য রয়েছে।

TACACS+ হলো এর পূর্ববর্তী ভার্সন TACACS বা XTACACS এর একটি উন্নত সংস্করণ। কিন্তু পূর্ববর্তী ভার্সনগুলোর সাথে TACACS+ এর কাজের কোন মিল নেই। TACACS+ আলাদা আলাদাভাবে AAA সার্ভিস যেমনঃ Authentication, Authorization ও Accounting নিয়ে কাজ করে। TACACS+ এর মাধ্যমে ট্রান্সমিট হওয়া সকল ডাটা যেমনঃ ইউজারনেম, পাসওয়ার্ড, একাউন্ট সংক্রান্ত তথ্যসমূহ ইত্যাদি Encrypted অবস্থায় থাকে। ইহা TCP পোর্ট নম্বর 49 ব্যবহার করে। একটি বড় আকারের নেটওয়ার্কে বিভিন্ন ধরণের ইউজারগ্রুপ থাকে এবং বিভিন্ন লেভেলের পারমিশনের দরকার হয়। এই ধরণের নেটওয়ার্কে TACACS+ সার্ভার একটি ভাল সমাধান হতে পারে।

অন্যদিকে RADIUS প্রটোকলের মাধ্যমে ট্রান্সমিট হওয়া ডাটাসমূহের মধ্যে শুধূমাত্র পাসওয়ার্ডসমূহ Encrypted অবস্থায় থাকে, কিন্তু ইউজারনেম ও একাউন্ট সংক্রান্ত তথ্যসমূহ Plaintext এ ট্রান্সমিট হয়। তাই তুলনামূলকভাবে এটি কম নিরাপদ। RADIUS প্রটোকলের মাধ্যমে Authentication ও Authorization উভয় সার্ভিস একটি মাত্র প্রসেস হিসেবে কাজ করে। অর্থাৎ কোন ইউজারকে যদি একবার অথেনটিকেট করা হয় তাহলে তাকে অথোরাইজড হিসেবেও গন্য করা হয়। ইহা অথেনটিকেশনের জন্য UDP পোর্ট 1645 অথবা 1812 ব্যবহার করে এবং অথোরাইজেশনের জন্য UDP পোর্ট 1646 অথবা 1813 ব্যবহার করে। TACACS+ এর তুলনায় RADIUS এর Accounting সার্ভিসটি অনেক শক্তিশালী। তাই বড় আকারের ISP নেটওয়ার্কে ইউজারদের Billing এর জন্য এই RADIUS ব্যবহৃত হয়। এছাড়া ইহা 802.1X, SIP ইত্যাদিও সাপোর্ট করে।

নিচের চিত্রে TACACS+ ও RADIUS এর কার্যপ্রণালীর ধাপসমূহ উল্লেখ করা হলোঃ

Configuring Server Based AAA Authentication on Cisco Devices

এখন আমরা একটি Cisco রাউটারে কিভাবে Server Based AAA Authentication কনফিগার করতে হয় তা দেখবো। এই Cisco রাউটারটি শুধুমাত্র একটি AAA ক্লায়েন্ট ডিভাইস হিসেবে কাজ করবে যা একটি রিমোট AAA সার্ভারের সাহায্য নিয়ে কোন ইউজারকে অথেনটিকেট করবে। এজন্য কিভাবে একটি Linux Based TACACS+ সার্ভার কনফিগার করতে হয় তা আমরা অন্য একটি টিউটোরিয়ালে আলোচনা করবো। Cisco রাউটারে Server Based AAA Authentication কনফিগার করার জন্য নিচের কয়েকটি ধাপ অনুসরণ করতে হবে।

ধাপ-১: প্রথমে আমরা রাউটারে AAA সার্ভিসটি এনাবল করবো।

SVR#conf t
SVR(config)#aaa new-model

ধাপ-২: আমরা যে Linux মেশিনটিকে TACACS+ সার্ভার হিসেবে কনফিগার করবো রাউটারে সেই মেশিনটির আই.পি এ্যাড্রেস ডিফাইন করবো এবং একটি TACACS+ Key ডিফাইন করবো। এই TACACS+ Key টি Linux Based TACACS+ সার্ভারের কনফিগারেশন ফাইলের মধ্যেও একই হতে হবে।

SVR(config)#tacacs-server host 192.168.10.5
SVR(config)#tacacs-server key tac123

ধাপ-৩: এখন আমরা রাউটারে AAA Authentication Method List ডিফাইন করবো।

SVR(config)#username admin privilege 15 secret admin@123
SVR(config)#aaa authentication login default local
SVR(config)#aaa authentication login REMOTE group tacacs+ local
SVR(config)#line vty 0 4
SVR(config-line)#login authentication REMOTE

এখানে আমরা ডিফল্ট মেথড-লিষ্ট হিসেবে local নির্ধারণ করলাম। এই ডিফল্ট মেথড-লিষ্টটি রাউটারের সব ইন্টারফেসে (line, vty, aux) এ্যাকটিভ হয়। এটি এজন্য করা হল যাতে Console লগইনের সময় রাউটার TACACS+ এর পরিবর্তে নিজের লোকাল ডাটাবেজ চেক করে ইউজারদের অথেনটিকেট করে। এজন্য রাউটারে admin নামে একটি ইউজারনেম কনফিগার করা হলো। এছাড়া এখানে REMOTE নামে একটি মেথড-লিষ্ট তৈরী করা হল যা শুধুমাত্র LINE VTY তে এ্যাকটিভ করা হলো এবং এর মাধ্যমে শুধুমাত্র রিমোট ইউজারদেরকে TACACS+ এর মাধ্যমে অথেনটিকেট করা হবে।

Configuring TACACS+ Server on Red Hat 6

আশাকরি আপনারা এই টিউটোরিয়ালটি দেখে Cisco ডিভাইসসমূহে Server Based AAA Authentication কনফিগার করতে পারবেন। আল্লাহ হাফেজ।