Linux TACACS+ авторизация

Question

Linux TACACS+ авторизация

Я хотел бы знать, чтобы авторизовать (разрешить только набор команд) пользователей на консоли Linux (bash). Я до сих пор могу аутентифицировать пользователей SSH через TACACS +, но авторизация не работает.

Это мой файл tac_plus.conf, действительно упрощенный для тестирования:

accounting file = /tmp/tacacs.acc
#default authentication = file /etc/passwd

user=bart {
    default service = deny
    pap  = cleartext "bart"

     service = ppp protocol = lcp {
          priv-lvl = 15
          idletime = 10
     }

    cmd = telnet {
             # permit specified telnets
             permit 131\.108\.13\.[0-9]+
             permit 128\.[0-9]+\.12\.3
    }        
}

Как я могу взаимодействовать с PAM (если это так), чтобы разрешить пользователю только использовать команды, указанные в TACACS? Я настроил PAM следующим образом:

account sufficient pam_tacplus.so debug server=192.168.56.19 service=ppp protocol=lcp
auth sufficient pam_tacplus.so debug server=192.168.56.19
password sufficient pam_tacplus.so debug server=192.168.56.19
session sufficient pam_tacplus.so debug server=192.168.56.19 secret=testing123 service=ppp protocol=lcp

Кроме того, есть идеи, почему это работает через SSH, а не через локальную консольную регистрацию?

Спасибо!

0

linux authorization tacacs+ aaa

Источник

Ignacio Verona 01 окт '14 в 09:42

1 ответ

Решение

Другие вопросы по тегам linux authorization tacacs+ aaa

Ignacio Verona 24 окт '14 в 10:16 2014-10-24 10:16 · Accepted Answer · 2014-10-24 10:16

После некоторых исследований я понял, что то, чего я хотел достичь, похоже, не получило поддержки.

ACL уровня команд CLI не разрешен в linux через TACACS, поэтому я в конечном итоге использовал TACACS для аутентификации (используя PAM с LDAP для хранения user/passwd) и LDAP для авторизации (членство в группах).