Аутентифицируйте Linux sshd с TACACS+ (Cisco ACS)

Question

Аутентифицируйте Linux sshd с TACACS+ (Cisco ACS)

Наша команда по проектированию сетей использует несколько серверов linux для сбора системных журналов, резервного копирования конфигурации, tftp и т. Д.

Мы хотим использовать TACACS+ на машине Cisco ACS в качестве нашего центрального сервера аутентификации, где мы можем изменять пароли и учетную запись для действий пользователя на этих серверах Linux. Мы также должны прибегнуть к статическому паролю в случае, если служба tacacs+ не работает.

Как мы делаем sshd на CentOS проходить аутентификацию на нашем сервере Cisco ACS tacacs+?

ПРИМЕЧАНИЕ: я отвечаю на свой вопрос

8

linux ssh cisco authentication tacacs+

Источник

Mike Pennington 06 сен '12 в 16:53

1 ответ

Решение

Другие вопросы по тегам linux ssh cisco authentication tacacs+

Mike Pennington 06 сен '12 в 16:53 2012-09-06 16:53 · Accepted Answer · 2012-09-06 16:53

Предположения

Мы компилируем pam_tacplus.so из v1.3.7 библиотеки pam_tacplus
Сервер Cisco ACS -192.0.2.27, а секретный ключ tacacs+ - d0nttr3@d0nm3

Инструкция по установке

Добавьте имя хоста / IP-адрес сервера Linux в Cisco ACS и перезапустите сервис Cisco ACS.
Загрузите модуль tacacs+ PAM с SourceForge.
устанавливать pam пакет разработки для вашего дистрибутива Linux. RHEL / CentOS называют это pam-devel; Debian / Ubuntu называют это libpam-dev (имя виртуального пакета для libpam0g-dev).
Унтар тачаки + pam модуль во временный рабочий каталог (tar xvfz pam_tacplus-1.3.7.tar.gz)
cd в новую папку, созданную tar,
Как корень: ./configure; make; make install
От имени пользователя root отредактируйте /etc/pam.d/sshdи добавьте эту строку в качестве первой записи в файле:
auth include tacacs
В качестве пользователя root создайте новый файл с именем /etc/pam.d/tacacs:

    #% РАМ-1,0
    достаточно аутентификации /usr/local/lib/security/pam_tacplus.so сервер отладки =192.0.2.27 secret=d0nttr3@d0nm3
    достаточно учетной записи /usr/local/lib/security/pam_tacplus.so сервер отладки =192.0.2.27 secret=d0nttr3@d0nm3 service= протокол оболочки =ssh
    достаточно сеанса /usr/local/lib/security/pam_tacplus.so сервер отладки =192.0.2.27 secret=d0nttr3@d0nm3 service= протокол оболочки =ssh

Инструкции для каждого сервера / пользователя

В качестве пользователя root на каждом сервере создайте локальную учетную запись пользователя linux, которая соответствует имени пользователя tacacs+ для всех необходимых пользователей. Пользователи могут по желанию использовать passwd установить свой локальный пароль на то, что им нравится в качестве крайней меры; однако, если они установят локальный пароль, они смогут войти в систему в любое время без tacacs+ даже если услуга доступна.

pam_tacplus Сервисная информация

Детали того, как pam_tacplus.so Модуль работает в этом pam-list архивная электронная почта