使用 TACACS+ (Cisco ACS) 验证 Linux sshd

假设

• 我们pam_tacplus.so从pam_tacplus 库的 v1.3.7 编译
• Cisco ACS 服务器是 192.0.2.27，tacacs+ 秘钥是d0nttr3@d0nm3

安装说明

1. 将 linux 服务器的主机名/ip 地址添加到 Cisco ACS 中并重新启动 Cisco ACS 服务
2. 从 SourceForge下载tacacs+ PAM 模块。
3. pam为您的 Linux 发行版安装开发包。RHEL / CentOS 调用它pam-devel；Debian / Ubuntu 称之为libpam-dev（虚拟包名称为libpam0g-dev）。
4. 将 tacacs+pam模块解压到临时工作目录 ( tar xvfz pam_tacplus-1.3.7.tar.gz)
5. cd到创建的新文件夹中tar。
6. 作为根：./configure; make; make install

7. 以root 身份编辑/etc/pam.d/sshd并将此行添加为文件中的第一个条目：

   auth include tacacs

8. 作为 root，创建​​一个名为的新文件/etc/pam.d/tacacs：

    #%PAM-1.0
    auth sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3
    帐号足够 /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh
    session sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh

每服务器/每用户说明

在每台服务器上以 root 用户身份，为所有需要的用户创建一个与 tacacs+ 用户名相匹配的本地 linux 用户帐户。作为最后的手段，用户可以选择使用passwd将他们的本地密码设置为他们喜欢的任何内容；tacacs+但是，如果他们设置了本地密码，即使服务可用，他们也可以随时在本地登录。

pam_tacplus 服务信息

该pam_tacplus.so模块如何工作的详细信息在此pam-list存档的电子邮件中