Назад | Перейти на главную страницу

Проверка подлинности Linux sshd с помощью TACACS + (Cisco ACS)

Наша команда сетевых инженеров использует несколько серверов Linux для коллекция системного журнала, резервные копии конфигурации, tftp и т. д.

Мы хотим использовать TACACS + на Машина Cisco ACS в качестве нашего центрального сервера аутентификации, на котором мы можем изменять пароли и учитывать активность пользователей на этих серверах Linux. Нам также нужно вернуться к статическому паролю, если служба tacacs + не работает.

Как мы делаем sshd на CentOS аутентифицируются против наших Cisco ACS tacacs + сервер?


ПРИМЕЧАНИЕ: я отвечая на мой собственный вопрос

Предположения

  • Мы составляем pam_tacplus.so из версии 1.3.7 библиотека pam_tacplus
  • Сервер Cisco ACS - 192.0.2.27, а секретный ключ tacacs + - d0nttr3@d0nm3

Инструкция по установке

  1. Добавьте имя хоста / IP-адрес Linux-сервера в Cisco ACS и перезапустите службу Cisco ACS.
  2. Загрузите модуль tacacs + PAM из SourceForge.
  3. Установить pam пакет разработки для вашего дистрибутива linux. RHEL / CentOS назовите это pam-devel; Debian / Ubuntu назовем это libpam-dev (имя виртуального пакета для libpam0g-dev).
  4. Разверните такаки + pam модуль во временный рабочий каталог (tar xvfz pam_tacplus-1.3.7.tar.gz)
  5. cd в новую папку, созданную tar.
  6. Как root: ./configure; make; make install
  7. Как root, редактировать /etc/pam.d/sshd, и добавьте эту строку как первую запись в файл:

    auth include tacacs

  8. От имени root создайте новый файл с именем /etc/pam.d/tacacs:

    #%PAM-1.0
    auth       sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3
    account    sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh
    session    sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh

Инструкции для сервера / пользователя

В качестве пользователя root на каждом сервере создайте локальную учетную запись пользователя Linux, которая соответствует имени пользователя tacacs + для всех необходимых пользователей. Пользователи могут дополнительно использовать passwd в крайнем случае установить для своих локальных паролей все, что им нравится; однако, если они установят локальный пароль, они смогут войти в систему локально в любое время без tacacs+ даже если услуга доступна.

pam_tacplus Сервисная информация

Детали того, как pam_tacplus.so работы модуля находятся в этом pam-list заархивированная электронная почта