Tacacs+ с двухфакторной аутентификацией Google PAM?
Я работаю на сервере tacacs+ для своей сети кампуса, и мне было интересно, как я могу настроить сервер tacacs+ для связи с PAM с двухфакторной аутентификацией Google. Я немного погуглил, нашел некоторую полезную информацию, но не нашел четкой "дорожной карты", и многие шаги кажутся в лучшем случае нечеткими. У меня прямо сейчас работает тестовый стенд Ubuntu tacacs+, на котором еще не настроены ни коммутаторы, ни маршрутизаторы.
Кто-нибудь сделал что-то подобное? Я нашел относительно хорошее руководство в цепочке сообщений RedHat здесь: https://www.redhat.com/archives/pam-list/2014-March/msg00008.html
Я не знаю точно, куда идти дальше, или как эта система работает. Есть ли примеры, которым я могу следовать или какие-либо предложения, которые есть у кого-нибудь? Я чувствую себя как в режиме проб и ошибок прямо сейчас.
РЕДАКТИРОВАТЬ: В частности, прямо сейчас, я смотрю на примеры файлов конфигурации PAM в /etc/pam.d/(tac_plus? Как бы он ни назывался), и я не уверен, что именно нужно идти туда. Это гугл-аутентификатор или Tacacs +? Мой пример выглядит примерно так, как показано ниже, но я не уверен, что здесь будет:
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3
password sufficient pam_unix.so md5 shadow nullok try_first_pass
use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in
crond quiet use_uid
session required pam_unix.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
session optional pam_ldap.so
Есть также конфиг для tacacs, который выглядит очень просто, но, как и все остальное, я никогда не видел его раньше, поэтому я не слишком уверен. Это выглядит так:
# admin group
group = admins {
default service = permit
login = PAM
service = exec {
priv-lvl = 15
}
}
1 ответ
Разбивая это на две части, каталог pam предназначен для вашей аутентификации для сервисов: tac_plus. Файл конфигурации tac_plus предназначен для службы: tacacs+
РАМ
Pam - это ваша подключаемая аутентификация, именно здесь вы собираетесь настроить аутентификацию по паролю и паролю с помощью google auth, поскольку google auth очень часто используется для таких сервисов, как RADIUSD и SSHD, тогда я украду некоторый открытый код для этого.
Результатом №1 в Google является Supertech Guy, которого я на самом деле ушел и написал упрек в отношении некоторых из его методов обеспечения безопасности Здесь, но по существу:
Добавьте это в ваш раздел авторизации pam.d/tac_plus
auth requisite pam_google_authenticator.so forward_pass
auth required pam_unix.so use_first_pass
Вы можете изменить расположение ключей Google Auth, если вы хотите кормить пользователей из ldap и предварительно генерировать их ключи BASE32 вместо использования инструмента google-auth. Подробнее о модуле google_auth pam
TACACS ++
tac_plus - это сервис, когда вы аутентифицируетесь с помощью этого сервиса, он будет использовать модуль pam для tac_plus, так же как radiusd и sshd.
Существует множество руководств по настройке, например, http://www.shrubbery.net/tac_plus/ к сожалению, я не настроил tac_plus лично.
ЧИТАТЬ
Когда вы аутентифицируетесь с Google Auth forward_pass ваш пароль пароль и googleauth
пароль: мой пароль
Google Totp: 222555
Полученный пароль вы вводите: MyPassword222555