Наша команда сетевых инженеров использует несколько серверов Linux для коллекция системного журнала, резервные копии конфигурации, tftp и т. д.
Мы хотим использовать TACACS + на Машина Cisco ACS в качестве нашего центрального сервера аутентификации, на котором мы можем изменять пароли и учитывать активность пользователей на этих серверах Linux. Нам также нужно вернуться к статическому паролю, если служба tacacs + не работает.
Как мы делаем sshd
на CentOS аутентифицируются против наших Cisco ACS tacacs + сервер?
ПРИМЕЧАНИЕ: я отвечая на мой собственный вопрос
pam_tacplus.so
из версии 1.3.7 библиотека pam_tacplusd0nttr3@d0nm3
pam
пакет разработки для вашего дистрибутива linux. RHEL / CentOS назовите это pam-devel
; Debian / Ubuntu назовем это libpam-dev
(имя виртуального пакета для libpam0g-dev
).pam
модуль во временный рабочий каталог (tar xvfz pam_tacplus-1.3.7.tar.gz
)cd
в новую папку, созданную tar
../configure; make; make install
Как root, редактировать /etc/pam.d/sshd
, и добавьте эту строку как первую запись в файл:
auth include tacacs
От имени root создайте новый файл с именем /etc/pam.d/tacacs
:
#%PAM-1.0 auth sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 account sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh session sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh
В качестве пользователя root на каждом сервере создайте локальную учетную запись пользователя Linux, которая соответствует имени пользователя tacacs + для всех необходимых пользователей. Пользователи могут дополнительно использовать passwd
в крайнем случае установить для своих локальных паролей все, что им нравится; однако, если они установят локальный пароль, они смогут войти в систему локально в любое время без tacacs+
даже если услуга доступна.
Детали того, как pam_tacplus.so
работы модуля находятся в этом pam-list
заархивированная электронная почта