我们的networking工程团队使用多个Linux服务器进行系统日志收集 ,configuration备份,tftp等。
我们希望在Cisco ACS机器上使用TACACS +作为我们的中央authentication服务器,我们可以在这些linux服务器上更改密码并考虑用户活动。 如果tacacs +服务closures,我们还需要回到静态密码。
我们如何在CentOS上使用sshd来validation我们的思科ACS tacacs +服务器?
注:我正在回答我自己的问题
d0nttr3@d0nm3 pam开发包。 RHEL / CentOS把它称为pam-devel ; Debian / Ubuntu将其称为libpam-dev ( libpam0g-dev的虚拟软件包名称)。 pam模块tar xvfz pam_tacplus-1.3.7.tar.gz到一个临时工作目录( tar xvfz pam_tacplus-1.3.7.tar.gz ) cd进入由tar创build的新文件夹。 ./configure; make; make install : ./configure; make; make install ./configure; make; make install 以root身份编辑/etc/pam.d/sshd ,并将此行添加为文件中的第一个条目:
auth include tacacs
以root用户/etc/pam.d/tacacs创build一个名为/etc/pam.d/tacacs的新文件:
#%PAM-1.0
auth足够/usr/local/lib/security/pam_tacplus.sodebugging服务器= 192.0.2.27秘密= d0nttr3 @ d0nm3
足够的帐户/usr/local/lib/security/pam_tacplus.sodebugging服务器= 192.0.2.27秘密= d0nttr3 @ d0nm3服务=壳协议= ssh
session full /usr/local/lib/security/pam_tacplus.so debug server = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh
以每个服务器上的root用户身份创build一个与所有必需用户的tacacs +用户名相匹配的本地linux用户帐户。 用户可以select使用passwd将他们的本地密码设置为他们喜欢的任何最后的手段; 但是,如果他们设置了本地密码,即使服务可用,他们也可以随时在本地login,而无需使用tacacs+ 。
pam_tacplus.so模块工作的细节在这个pam-list存档的电子邮件中