etapas/Etapa-033-ConfiguracaoDoTacacsRadiusNoSwitchRouter.txt

!Autor: Robson Vaamonde
!Procedimentos em TI: http://procedimentosemti.com.br
!Bora para Prática: http://boraparapratica.com.br
!Robson Vaamonde: http://vaamonde.com.br
!Facebook Procedimentos em TI: https://www.facebook.com/ProcedimentosEmTi
!Facebook Bora para Prática: https://www.facebook.com/BoraParaPratica
!Instagram Procedimentos em TI: https://www.instagram.com/procedimentoem
!YouTUBE Bora Para Prática: https://www.youtube.com/boraparapratica
!Data de criação: 12/05/2020
!Data de atualização: 12/05/2020
!Versão: 0.01
!Testado e homologado no Cisco Packet Tracer 7.3 e GNS3 2.2.7

!AAA (Authentication, Authorization and Accounting) em segurança da informação, é uma referência aos
!protocolos relacionados com os procedimentos de autenticação, autorização e contabilização.

!RADIUS (Remote Authentication Dial In User Service) é um protocolo de rede que fornece gerenciamento
!centralizado de Autenticação, Autorização e Contabilização para usuários que se conectam e utilizam
!um serviço de rede.

!O protocolo padrão utilizado pelo RADIUS é o UDP (User Datagram Protocol) na porta padrão: 1812
!OBSERVAÇÃO: o protocolo RADIUS também utiliza as portas: 1812, 1813, 1645 e 1646

!TACACS (Terminal Access Controller Access-Control System) é um protocolo de autenticação remota usado
!para comunicação com servidores de autenticação, ele permite que um servidor de acesso remoto se 
!comunique com um servidor de autenticação para verificar se o usuário tem direitos ao acesso à rede.

!O protocolo padrão utilizado pelo TACACS+ é o TCP (Transmission Control Protocol) na porta padrão: 49

!PRIMEIRA ETAPA: Configuração do Servidor AAA Radius e Tacacs+
!OBSERVAÇÃO: no Cisco Packet Tracer por padrão o Serviço do AAA está desligado
Service			On
Radius Port		1645

Network Configuration
Client Name		sw-l3-3560-1	Client IP	192.168.3.254	Secret	pti		Server Type		Tacacs
				sw-l2-2960-3	Client IP	192.168.3.250	Secret	pti		Server Type		Tacacs
				sw-l2-2960-4	Client IP	192.168.3.251	Secret	pti		Server Type		Tacacs
				rt-1941-2		Client IP	192.168.2.254	Secret	pti		Server Type		Radius

User Setup
Username		pti		Password	pti

!SEGUNDA ETAPA: Configuração do Switch Layer 3 3560
!OBSERVAÇÃO IMPORTANTE: No Switch Layer 3 temos apenas o recurso de AAA TACACS+, não está disponível no Cisco Packet
 Tracer a possibilidade de configuração do AAA RADIUS
!Acessando o modo EXEC Privilegiado
enable

	!Acessando o modo de Configuração Global de Comandos
	configure terminal
		
		!Configuração do Modelo de Autenticação AAA
		!DICA: quando habilitado o recurso de autenticação do AAA, essa é a primeira opção a ser configurada
		!OBSERVAÇÃO: o comando aaa new-model aplica imediatamente a autenticação local a todas as linhas e console
		!OBSERVAÇÃO: existe a possibilidade de criar modelos de autenticação personalizados para cada grupo de usuários
		aaa new-model
		
		!Configuração da Autenticação AAA de Login do Console e VTY
		!DICA: configurando essa opção, o acesso ao modo EXEC será feito consultando o servidor de AAA
		!OBSERVAÇÃO: o comando aaa authentication login autentica os usuários que querem o acesso ao modo EXEC
		!OBSERVAÇÃO: é recomendado configurar a autenticação AAA com Backup de usuários locais: AAA + Local
		!OBSERVAÇÃO: será criado uma lista padrão (default) de autenticação dos usuários, podemos criar nossa lista
		!EXEMPLO: aaa authentication login boraparapratica group tacacs+ local
		!OBSERVAÇÃO: utilizando a opção grupo (group) configuramos a possibilidade de usar o TACACS+ e Local
		!ADENDO IMPORTANTE: os usuários locais só serão utilizados quando os Servidores AAA TACACS+ ou RADIUS estiverem
		!Off-Line (fora de serviço)
		aaa authentication login default group tacacs+ local
		
		!Configuração da Autenticação AAA de Login do Modo EXEC Privilegiado
		!DICA: configurando essa opção, o acesso ao modo EXEC Privilegiado será feito consultando o servidor de AAA
		!OBSERVAÇÃO: segue o mesmo procedimento da configuração de login, primeiro AAA depois Local
		aaa authentication enable default group tacacs+ local
		
		!Configuração da Autorização AAA do Modo EXEC
		!DICA: as configurações de autorização está relacionada ao nível de privilégio de acesso ao Shell
		!OBSERVAÇÃO: no Cisco Packet Tracer os níveis de privilégios de acesso são limitados
		!OBSERVAÇÃO: nas configurações de autorização temos as opções: exec e network (Protocolos SLIP, PPP, e ARAP)
		aaa authorization exec default group tacacs+ local
		
		!Configuração dos Avisos de Contabilização AAA
		!DICA: as configurações de contabilização está relacionada aos tipos de avisos enviados para contabilização
		!OBSERVAÇÃO: no Cisco Packet Tracer os níveis de contabilização são limitados
		!OBSERVAÇÃO: nas configurações da contabilização temos as opções: start-stop e stop-only
		aaa accounting exec default start-stop group tacacs+
		
		!Configuração do Servidor de Autenticação AAA TACACS+
		!DICA: a configuração do endereço IPv4 do Servidor AAA e da chave de autenticação
		!OBSERVAÇÃO: no Cisco Packet Tracer, os Switches Layer 2 e 3 são limitados somente a autenticação TACACS+
		tacacs-server host 192.168.3.1 key pti
		
		!Configuração das Linhas Virtuais (VTY) do Switch Layer 3 3560
		line vty 0 5
			
			!Alteração da forma da autenticação de acesso das Linhas Virtuais
			!DICA: alterar a forma da autenticação das Linhas permite utilizar usuários Locais e Remotos
			!OBSERVAÇÃO: na configuração do Script Base do Switch o padrão definido foi login local
			!OBSERVAÇÃO: a opção de authentication default força utilizar o método de autenticação AAA
			login authentication default
			
			!Configuração da contabilização da autenticação das Linhas Virtuais
			!DICA: alterar a forma de contabilização das Linhas permite enviar avisos de utilização dos terminais
			!OBSERVAÇÃO: essa contabilização será feita com base no comando: aaa accounting exec default
			accounting exec default
			exit
			
		!Configuração do Console do Switch Layer 3 3560
		line console 0
			login authentication default
			accounting exec default
			end
	
!Salvando as configurações da memória RAM para a memória NVRAM
write

!TERCEIRA ETAPA: Configuração dos Switches Layer 2 2960
!OBSERVAÇÃO IMPORTANTE: O recurso de AAA só está disponível no Switch Layer 2 2960 na versão do IOS 15,
!para essa configuração é necessário fazer o Upgrade do IOS. No Switch Layer 2 temos apenas o recurso
!de AAA TACACS+, não está disponível no Cisco Packet Tracer a possibilidade de configuração do AAA RADIUS
enable
	copy tftp: flash:
		192.168.3.1
		c2960-lanbasek9-mz.150-2.SE4.bin
	configure terminal 
		boot system c2960-lanbasek9-mz.150-2.SE4.bin
		end
write
reload

enable
	configure terminal
		aaa new-model
		aaa authentication login default group tacacs+ local
		aaa authentication enable default group tacacs+ local
		aaa authorization exec default group tacacs+ local
		aaa accounting exec default start-stop group tacacs+
		tacacs-server host 192.168.3.1 key pti
		line vty 0 5
			login authentication default
			accounting exec default
			exit
		line console 0
			login authentication default
			accounting exec default
			end
write

!QUARTA ETAPA: Configuração do Router 1941-2
enable
	configure terminal
		
		!OBSERVAÇÃO: alterado o tipo do Servidor AAA para RADIUS
		aaa new-model
		aaa authentication login default group radius local
		aaa authentication enable default group radius local
		aaa authorization exec default group radius local
		aaa accounting exec default start-stop group radius
		radius-server host 192.168.3.1 key pti
		line vty 0 5
			login authentication default
			accounting exec default
			exit
		line console 0
			login authentication default
			accounting exec default
			end
write

!Visualizando as configurações da memória RAM
show running-config | section aaa
show running-config | include tacacs
show running-config | include radius
show users