README.LDAP

   1                    LDAP Authentification with Tacacs+
   2                    ----------------------------------
   3
   4
   5 Author : Harpes Patrick (patrick.harpes@tudor.lu)
   6          Jahnen Andreas (andreas.jahnen@tudor.lu)
   7 Date   : 16.03.2001
   8
   9 License:
  10 --------
  11
  12    tac_ldap is free software; you can redistribute it
  13    and/or modify it under the terms of the GNU General Public License
  14    as published by the Free Software Foundation; either version 2,
  15    or (at your option) any later version.
  16
  17
  18 This document aim to describe how to perform LDAP authentification for tacacs+.
  19
  20
  21 Requirements:
  22 -------------
  23
  24 1) tac_plus.F4.0.3-v8.alpha.tar.gz
  25    This package includes the original CISCO tacacs+ package from http://www.gazi.edu.tr/tacacs/
  26 2) openldap package
  27    This package has been developped using the openldap libraries version 2.0.7
  28    OpenLDAP is available from www.openldap.org
  29 3) GCC and other GNU developpment tools (make...)
  30 4) A running LDAP server (test has been made using Lotus Domino LDAP server version 5.0.x and
  31    OpenLDAP)
  32
  33 Overview:
  34 ---------
  35                                             ------------            ----------------
  36                                             - Server   -            - Notes DOMINO -
  37               ----------------              - running  -____LDAP____- LDAP Server  -
  38               - CISCO Dialup -__tacacs+_____- tacacs+  -            -    or        -
  39               -   Router     -              -          -            - other LDAP   -
  40               ----------------              ------------            - Server       -
  41                                                                     ---------------
  42
  43 The CISCO router sends tacacs+ request to the tacacs+ server. This one uses the LDAP
  44 server to authentificate the user.
  45
  46
  47 HowTo configure the CISCO router?
  48 ---------------------------------
  49
  50 There are good documentations available on how to set up the CISCO router for using
  51 tacacs+. This documents can be found on the tacacs+ homepage http://www.gazi.edu.tr/tacacs/
  52
  53 HowTo install the tacacs+ package with LDAP support?
  54 ----------------------------------------------------
  55
  56 To enable the LDAP support on the tacacs+ package, you have to perform the following steps:
  57
  58    1. Install the Open LDAP package (version 2.0.7) (www.openldap.org)
  59       Refer to the INSTALL document to build this package.
  60
  61    2. Unpack the tacacs+ package in /usr/local/src
  62       # tar -zxvf  tac_plus.F4.0.3-v8.alpha.tar.gz
  63
  64    3. Use the configure script to create the Makefiles
  65
  66       # cd /usr/local/src/tac_plus.F5.0.0.alpha/
  67       # ./configure --with-ldap
  68
  69       You can use ./configure --help to get more options
  70
  71    4. Compile the package
  72
  73       # make tac_plus
  74
  75    5. Set your LD_LIBRARY_PATH to include the LDAP libraries
  76
  77       # LD_LIBRARY_PATH=/usr/local/lib:$LD_LIBRARY_PATH; export LD_LIBRARY_PATH
  78
  79
  80 HowTo configure tacacs+ for using the LDAP support
  81 --------------------------------------------------
  82
  83 To use the LDAP authentification, use the following simple tacacs+ configuration file
  84
  85    key = "your tacacs key"
  86    accounting file = /var/log/tac-plus/tac_plus.log
  87    default authentification = ldap "ldap://<Hostname of your LDAP server>"
  88    user=DEFAULT {
  89           service = ppp protocol = ip {
  90           }
  91    }
  92
  93
  94 For more information on the configuration file please use the complete tacacs+ documentation.
  95
  96
  97 How to start the tacacs+ daemon
  98 -------------------------------
  99
 100 Make sure your LD_LIBRARY_PATH includes the LDAP libraries.
 101 As root, start the tacacs daemon:
 102    # /usr/local/src/tac_plus.F4.0.3-v8.alpha/tac_plus -C tac_plus.cfg
 103
 104
 105 How to configure the LDAP server
 106 --------------------------------
 107
 108 a) Notes Domino LDAP server
 109 ---------------------------
 110
 111 You have to enable the Domino server task "LDAP" with the Administration Tool. You
 112 can do this with the command "laod ldap" at the server console or with the help of
 113 the Tools Menu of the server tab (Tools -> Task -> Start "LDAP Server").
 114
 115 You can define which attributes of your Domino Directory are accessible by
 116 anonymous users and if it is allowed to write to your Domino Directory using LDAP in
 117 a Configuration document. You have to specify "Use these settings as the default
 118 settings for all servers" in the Basic tab of the Configuration document to display
 119 the LDAP options tab. There you are able to adjust the settings for a your LDAP server.
 120
 121 For additional information see the IBM Red Book "Getting the most from your Domino
 122 Directory" (11/2000), which you can downlaod from http://www.redbooks.ibm.com.
 123
 124
 125 b) Open LDAP
 126 ------------
 127
 128 It is also possible to use OpenLDAP for this kind of authentification. Please look at
 129 the documentation at http://www.openldap.org for details how to install the server.
 130
 131
 132 Security
 133 ---------
 134
 135 The here described tacacs+ queries are not quering any of the fields stored in your LDAP
 136 server. We only try to log in and this is the "test" we perform here.
 137
 138 Pleae note that the passwords are not send encrypted. You have to make sure that it is
 139 not possible to sniff them. In general is there no support from tacacs+ to support encrypted
 140 passwords.
 141 It is maybe possible to use OpenLDAP with TLS support to encrypt the passwords and use a
 142 secure LDAP server. This is also supported by Domino and OpenLDAP. But this is not implemented.
 143
 144 Good luck,
 145
 146         Harpes Patrick (patrick.harpes@tudor.lu) and Jahnen Andreas (andreas.jahnen@tudor.lu)