как настроить Ubuntu для подключения к серверу TACACS

Question 1

У меня есть две рабочие станции Ubuntu, которые я хочу настроить для использования нашего сервера TACACS + для входа в систему, а не их локальных учетных записей. Как настроить рабочую станцию для использования серверов tacacs?

Question 2

Там я нашел интересный проект - tacacsGUI.com . Это автономный интерфейс пользователя для настройки tac_plus. Моя установка была легкой, попробуйте. Кроме того, он обладает некоторыми преимуществами, такими как Backup Maker для автоматического резервного копирования, Поиск подсетей для сбора подсетей и т. Д. Удачи!

Question 3

Question 4

Надеюсь, вы не возражаете, но я просто хотел бы добавить эту информацию для других ...

Мне удалось заставить xtacacs Version 4.0 работать для аутентификации на 64-битной системе Ubuntu 12.04.02 LTS с Cisco AS2511 только после того, как я скомпилировал ее в 32-битном режиме (gcc -m32 ...). Если я компилировал его в 64-битную цель по умолчанию, он получал всевозможные странные ошибки, такие как системный журнал, показывающий, что имя пользователя 'chris' было транспонировано в 'hcris'.

Конечно, мне сначала пришлось загрузить 32-битные системные библиотеки (sudo apt-get install ia32-libs) и 32-битные заголовочные файлы (sudo apt-get install gcc-multilib).

Question 5

См. Сообщение ServerFault Аутентификация Linux sshd с TACACS + (Cisco ACS)

Установка сервера

Добавление имени хоста сервера linux / IP-адрес в Cisco ACS и перезапустите службу Cisco ACS
Загрузите модуль tacacs + PAM из SourceForge.
Установите pam пакет разработки для вашего дистрибутива Linux. RHEL / CentOS называют это pam-devel; Debian / Ubuntu называют его libpam-dev (имя виртуального пакета для libpam0g-dev).
Разархивируйте модуль tacacs + pam во временный рабочий каталог
cd в новую папку, созданную tar.
От имени пользователя root: ./configure; make; make install
От имени пользователя root отредактируйте /etc/pam.d/sshd и добавьте эту строку в качестве первой записи в файле:

auth include tacacs
В качестве пользователя root создайте новый файл с именем /etc/pam.d/tacacs:

    #%PAM-1.0
    auth       sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3
    account    sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh
    session    sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh

Инструкции для сервера / пользователя

В качестве пользователя root на каждом сервере создайте локальную учетную запись пользователя linux, которая соответствует имени пользователя tacacs + для всех необходимых пользователей. Пользователи могут по желанию использовать passwd для установки своего локального пароля в качестве последнего средства; однако, если они установят локальный пароль, они смогут войти в систему локально в любое время без tacacs+, даже если услуга доступна.

pam_tacplus Сервисная информация

Подробная информация о том, как работает модуль pam_tacplus.so, содержится в этом pam-list архивном письме

Question 6

Ниже конфигурация полезна для аутентификации пользователя без наличия пользователей на машине linux.

auth      sufficient   pam_unix.so try_first_pass nullok
auth      required     pam_krb5.so use_first_pass no_user_check

account   sufficient   pam_unix.so
account   required     pam_krb5.so no_user_check
account   optional     pam_permit.so
account   required     pam_time.so

password  sufficient   pam_unix.so try_first_pass nullok sha512 shadow
password  required     pam_krb5.so use_authtok no_user_check

session   required     pam_limits.so
session   optional     pam_permit.so

Alexey · Answer 1 · 20 November 2012 в 22:17

Там я нашел интересный проект - tacacsGUI.com . Это автономный интерфейс пользователя для настройки tac_plus. Моя установка была легкой, попробуйте. Кроме того, он обладает некоторыми преимуществами, такими как Backup Maker для автоматического резервного копирования, Поиск подсетей для сбора подсетей и т. Д. Удачи!

Chris Good · Answer 2 · 20 November 2012 в 22:17

Надеюсь, вы не возражаете, но я просто хотел бы добавить эту информацию для других ...

Мне удалось заставить xtacacs Version 4.0 работать для аутентификации на 64-битной системе Ubuntu 12.04.02 LTS с Cisco AS2511 только после того, как я скомпилировал ее в 32-битном режиме (gcc -m32 ...). Если я компилировал его в 64-битную цель по умолчанию, он получал всевозможные странные ошибки, такие как системный журнал, показывающий, что имя пользователя 'chris' было транспонировано в 'hcris'.

Конечно, мне сначала пришлось загрузить 32-битные системные библиотеки (sudo apt-get install ia32-libs) и 32-битные заголовочные файлы (sudo apt-get install gcc-multilib).

Community · Answer 3 · 20 November 2012 в 22:17

См. Сообщение ServerFault Аутентификация Linux sshd с TACACS + (Cisco ACS)

Установка сервера

Добавление имени хоста сервера linux / IP-адрес в Cisco ACS и перезапустите службу Cisco ACS
Загрузите модуль tacacs + PAM из SourceForge.
Установите pam пакет разработки для вашего дистрибутива Linux. RHEL / CentOS называют это pam-devel; Debian / Ubuntu называют его libpam-dev (имя виртуального пакета для libpam0g-dev).
Разархивируйте модуль tacacs + pam во временный рабочий каталог
cd в новую папку, созданную tar.
От имени пользователя root: ./configure; make; make install
От имени пользователя root отредактируйте /etc/pam.d/sshd и добавьте эту строку в качестве первой записи в файле:

auth include tacacs
В качестве пользователя root создайте новый файл с именем /etc/pam.d/tacacs:

    #%PAM-1.0
    auth       sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3
    account    sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh
    session    sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh

Инструкции для сервера / пользователя

В качестве пользователя root на каждом сервере создайте локальную учетную запись пользователя linux, которая соответствует имени пользователя tacacs + для всех необходимых пользователей. Пользователи могут по желанию использовать passwd для установки своего локального пароля в качестве последнего средства; однако, если они установят локальный пароль, они смогут войти в систему локально в любое время без tacacs+, даже если услуга доступна.

pam_tacplus Сервисная информация

Подробная информация о том, как работает модуль pam_tacplus.so, содержится в этом pam-list архивном письме

Pierre.Vriens · Answer 4 · 20 November 2012 в 22:17

Ниже конфигурация полезна для аутентификации пользователя без наличия пользователей на машине linux.

auth      sufficient   pam_unix.so try_first_pass nullok
auth      required     pam_krb5.so use_first_pass no_user_check

account   sufficient   pam_unix.so
account   required     pam_krb5.so no_user_check
account   optional     pam_permit.so
account   required     pam_time.so

password  sufficient   pam_unix.so try_first_pass nullok sha512 shadow
password  required     pam_krb5.so use_authtok no_user_check

session   required     pam_limits.so
session   optional     pam_permit.so

как настроить Ubuntu для подключения к серверу TACACS

4 ответа

Установка сервера

Инструкции для сервера / пользователя

pam_tacplus Сервисная информация

Другие вопросы по тегам:

Похожие вопросы: