У меня есть две рабочие станции Ubuntu, которые я хочу настроить для использования нашего сервера TACACS + для входа в систему, а не их локальных учетных записей. Как настроить рабочую станцию для использования серверов tacacs?
Там я нашел интересный проект - tacacsGUI.com . Это автономный интерфейс пользователя для настройки tac_plus. Моя установка была легкой, попробуйте. Кроме того, он обладает некоторыми преимуществами, такими как Backup Maker для автоматического резервного копирования, Поиск подсетей для сбора подсетей и т. Д. Удачи!
Надеюсь, вы не возражаете, но я просто хотел бы добавить эту информацию для других ...
Мне удалось заставить xtacacs Version 4.0 работать для аутентификации на 64-битной системе Ubuntu 12.04.02 LTS с Cisco AS2511 только после того, как я скомпилировал ее в 32-битном режиме (gcc -m32 ...). Если я компилировал его в 64-битную цель по умолчанию, он получал всевозможные странные ошибки, такие как системный журнал, показывающий, что имя пользователя 'chris' было транспонировано в 'hcris'.
Конечно, мне сначала пришлось загрузить 32-битные системные библиотеки (sudo apt-get install ia32-libs) и 32-битные заголовочные файлы (sudo apt-get install gcc-multilib).
См. Сообщение ServerFault Аутентификация Linux sshd с TACACS + (Cisco ACS)
pam
пакет разработки для вашего дистрибутива Linux. RHEL / CentOS называют это pam-devel
; Debian / Ubuntu называют его libpam-dev
(имя виртуального пакета для libpam0g-dev
). pam
во временный рабочий каталог cd
в новую папку, созданную tar
. ./configure; make; make install
От имени пользователя root отредактируйте /etc/pam.d/sshd
и добавьте эту строку в качестве первой записи в файле:
auth include tacacs
В качестве пользователя root создайте новый файл с именем /etc/pam.d/tacacs
:
#%PAM-1.0 auth sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 account sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh session sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh
В качестве пользователя root на каждом сервере создайте локальную учетную запись пользователя linux, которая соответствует имени пользователя tacacs + для всех необходимых пользователей. Пользователи могут по желанию использовать passwd
для установки своего локального пароля в качестве последнего средства; однако, если они установят локальный пароль, они смогут войти в систему локально в любое время без tacacs+
, даже если услуга доступна.
Подробная информация о том, как работает модуль pam_tacplus.so
, содержится в этом pam-list
архивном письме
Ниже конфигурация полезна для аутентификации пользователя без наличия пользователей на машине linux.
auth sufficient pam_unix.so try_first_pass nullok
auth required pam_krb5.so use_first_pass no_user_check
account sufficient pam_unix.so
account required pam_krb5.so no_user_check
account optional pam_permit.so
account required pam_time.so
password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password required pam_krb5.so use_authtok no_user_check
session required pam_limits.so
session optional pam_permit.so