使用TACACS +(Cisco ACS)对Linux sshd进行身份验证

8

我们的网络工程团队使用多个linux服务器进行syslog收集,配置备份,tftp等。

我们希望在Cisco ACS机器上使用TACACS + 作为我们的中央身份验证服务器,在这里我们可以更改密码并考虑这些Linux服务器上的用户活动。如果tacacs +服务关闭,我们还需要使用静态密码。

我们如何sshd在CentOS上针对我们的Cisco ACS tacacs +服务器进行身份验证?

注意:我在回答自己的问题

linux  ssh  cisco  authentication  tacacs+ 
迈克·彭宁顿
source

Answers:

11

假设条件

  • 我们正在pam_tacplus.sopam_tacplus库v1.3.7进行编译
  • Cisco ACS服务器是192.0.2.27,秘密的tacacs +密钥是 d0nttr3@d0nm3

安装说明

  1. 将Linux服务器的主机名/ IP地址添加到Cisco ACS中,然后重新启动Cisco ACS服务
  2. 从SourceForge 下载tacacs + PAM模块
  3. pam为您的Linux发行版安装开发包。RHEL / CentOS称之为pam-devel; Debian / Ubuntu称它libpam-dev(的虚拟包名称libpam0g-dev)。
  4. 将tacacs + pam模块解压缩到临时工作目录(tar xvfz pam_tacplus-1.3.7.tar.gz
  5. cd放入由创建的新文件夹tar
  6. 作为根: ./configure; make; make install

  7. 以root /etc/pam.d/sshd身份进行编辑,并将以下行添加为文件中的第一项:

    auth include tacacs

  8. 以root用户身份创建一个新文件/etc/pam.d/tacacs

    #%PAM-1.0
    验证足够的/usr/local/lib/security/pam_tacplus.so调试服务器= 192.0.2.27 secret = d0nttr3 @ d0nm3
    帐户足够的/usr/local/lib/security/pam_tacplus.so调试服务器= 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh
    会话足够/usr/local/lib/security/pam_tacplus.so调试服务器= 192.0.2.27秘密= d0nttr3 @ d0nm3服务=外壳协议= ssh

每服务器/每用户说明

作为每台服务器上的root用户,创建一个与所有必需用户的tacacs +用户名相匹配的本地linux用户帐户。用户可以选择passwd将自己的本地密码设置为自己喜欢的最后一种方法。但是,如果他们设置了本地密码,则tacacs+即使服务可用,他们也可以随时在本地登录。

pam_tacplus服务信息

归档电子邮件中提供了有关pam_tacplus.so模块工作方式的详细信息pam-list

迈克·彭宁顿
source
我们如何管理Linux用户组?我没有使用CISCO作为客户端,而是一个Linux盒子是带有pam_tacplus模块的客户端。
chandank 2015年
@Mike Pennington:当tacacs +服务器可用时,您知道如何禁用本地登录吗?我应该如何安排以上规则,我是否需要更多规则?
coffeMug
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.