Графічний інтерфейс до демону tacacs — TacacsGUI

Хочу представити вам графічний інтерфейс для демона tacacs (посилання в кінці посту). На щастя чи на жаль, я розробник цього проекту, на який було витрачено близько 3-х місяців. Цей проект орієнтований на пристрої Cisco, і не тестувався на пристроях інших виробників (але як стверджує man tacacs, є підтримка і інших виробників, наприклад, Juniper).

lockscreen_img

Давайте розберемося, що ж цей «інтерфейс» (далі TacacsGUI) вміє:

  • Уміє створювати конфігурацію для демона tacacs, це основна мета створення проекту. TacacsGUI не просто створює конфігурацію, він спрощує настройку tacacs — автоматичне шифрування паролів (на жаль, tac_pwd вміє тільки des), настройка правил доступу для групи користувачів, попередній перегляд і міні-debug, на випадок помилок в конфігурації. На даний момент, немає підтримки LDAP, груп і ще деяких корисностей.

    tacacs_config_preview

  • TacacsGUI так само оснащений деякими корисними утилітами, всі вони працюють з базою даних пристроїв, яка використовується для створення файлу конфігурації tacacs. Кожна утиліта має свого користувача з певними правами доступу, за замовчуванням користувачі вимкнені. Почнемо з першої утиліти — Backup Maker. Відразу з назви можна здогадатися, для чого призначена ця утиліта. Слід зазначити, що працює вона виключно з пристроями Cisco (як і всі інші утиліти). Backup Maker робить резервне копіювання з преднастроенной періодичністю, на обладнанні виконується команда
    copy startup-config tftp:
    , при цьому є можливість зберегти конфігурацію перед резервним копіюванням. На жаль, поки що TFTP-сервера повинен виступати сам сервер TacacsGUI, який збирає всі бекапи в зручну базу даних (ІМХО). Є можливість автоматично зливати всі резервні копії, але про це в окремому пункті (передостанній пункт).

    backupMaker

  • Subnet Searcher — ще одна утиліта, яка допомагає визначити налаштовані підмережі на пристроях, так само є можливість вгадувати номер Vlan для підмережі. Трохи детальніше про роботу утиліти. Subnet Searcher заходить на пристрій і виконує команду
    show runn | in (rface|dress|euroncap)
    , грунтуючись на інформації про ip-адресу і маску підмережі (secondary ip так само враховуються) обчислюється номер підмережі, якщо інтерфейс називається Vlan чи є рядок encapsulation, визначається vlan. У підсумку, ми отримуємо базу даних відомих підмереж у мережі + номер Vlan (якщо був помічений) + для кожної підмережі є список учасників.

    SubnetSearcher

  • CDP MapMaker — утиліта, яка будує топологію мережі грунтуючись на інформації отриманої від CDP. Ця утиліта використовує тугіше JavaScript бібліотеки (jsPlumb), що і UNetLab (дуже крутий емулятор), так що є деякі подібності. Насправді ця утиліта ділиться на два «движка»: CDP Search та MapMaker. CDP Search збирає інформацію з усіх пристроїв і створює тимчасову базу даних, яку в подальшому використовує MapMaker. Крім автоматичного створення топології, є можливість ручного додавання елементів мережі і встановлення зв'язків. Так само є експорт, але тільки в XML файл, який можна відкрити за допомогою сервісу draw.io.

    CDPMapMaker

  • Є можливість створення користувачів для управління TacacsGUI, поки що без розмежування прав доступу. Ведеться логгирование дій та спроб несанкціонованого доступу. Так само є можливість робити резервну копію всіх налаштувань, файлу конфігурації tacacs і всіх резервних копій, зроблених за допомогою Backup Maker, при цьому є вибір куди (FTP, SCP, Win Share) і коли зливати backup.

    fullBackup

  • Природно інформація, яка зберігається на сервері, повинна передаватися між користувачем і сервером по https. Налаштувати https дуже просто, за допомогою представленого на сайті скрипта. Так само, якщо ви хочете, що б у вас https світився «зелененьким», треба зробити запис DNS для вашого сервера tacacs.gui і встановити кореневий сертифікат, детальніше на сайті.
На даний момент система тестувалася в лабораторке, створеної за допомогою UNetLab, а також була розгорнута на одному з підприємств. Проект залишається «ріденьким», що є доробити/змінити/покращити, але він працює. Ще в планах зробити Path Searcher — утиліта, яка грунтуючись на інформації, отриманої з CDP MapMaker та Subnet Searcher, буде малювати маршрут між двома вузлами в мережі, і це буде не просто трасування, тому що на схемі будуть присутні комутатори і інші пристрої, які моли бути додані вручну. До того ж планується написати «движок», який буде аналізувати ACL, таким чином, на схемі у Path Searcher буде з'являтися інформація за яким правилом було пропущено/заблокований пакет. Але поки що це тільки в планах.

Якщо ви стали щасливим користувачем і знайшли баг або «очепятку» (англійська у мене не ідеальний), то можете скористатися контактною інформацією на сайті, врахуйте, я розумію англійську і російську мови, але російська трохи краще.

Сайт проекту можна знайти тут -> www.tacacsgui.com. Всім добра!

23.05.2016 — виправлені граматичні помилки.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.