Mike Pennington Asked: 2012-09-07 08:53:32 +0800 CST2012-09-07 08:53:32 +0800 CST 2012-09-07 08:53:32 +0800 CST 使用 TACACS+ (Cisco ACS) 验证 Linux sshd 772 我们的网络工程团队使用多台 Linux 服务器进行系统日志收集、配置备份、tftp 等... 我们想在Cisco ACS 机器上使用 TACACS+作为我们的中央身份验证服务器,我们可以在其中更改密码并对这些 Linux 服务器上的用户活动进行说明。我们还需要回退到静态密码,以防 tacacs+ 服务出现故障。 我们如何sshd在 CentOS 上针对我们的Cisco ACS tacacs+ 服务器进行身份验证? 注意:我正在回答我自己的问题 linux 1 个回答 Voted Best Answer Mike Pennington 2012-09-07T08:53:32+08:002012-09-07T08:53:32+08:00 假设 我们pam_tacplus.so从pam_tacplus 库的 v1.3.7 编译 Cisco ACS 服务器是 192.0.2.27,tacacs+ 秘钥是d0nttr3@d0nm3 安装说明 将 linux 服务器的主机名/ip 地址添加到 Cisco ACS 中并重新启动 Cisco ACS 服务 从 SourceForge下载tacacs+ PAM 模块。 pam为您的 Linux 发行版安装开发包。RHEL / CentOS 调用它pam-devel;Debian / Ubuntu 称之为libpam-dev(虚拟包名称为libpam0g-dev)。 将 tacacs+pam模块解压到临时工作目录 ( tar xvfz pam_tacplus-1.3.7.tar.gz) cd到创建的新文件夹中tar。 作为根:./configure; make; make install 以root 身份编辑/etc/pam.d/sshd并将此行添加为文件中的第一个条目: auth include tacacs 作为 root,创建一个名为的新文件/etc/pam.d/tacacs: #%PAM-1.0 auth sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 帐号足够 /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh session sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh 每服务器/每用户说明 在每台服务器上以 root 用户身份,为所有需要的用户创建一个与 tacacs+ 用户名相匹配的本地 linux 用户帐户。作为最后的手段,用户可以选择使用passwd将他们的本地密码设置为他们喜欢的任何内容;tacacs+但是,如果他们设置了本地密码,即使服务可用,他们也可以随时在本地登录。 pam_tacplus 服务信息 该pam_tacplus.so模块如何工作的详细信息在此pam-list存档的电子邮件中
假设
pam_tacplus.so
从pam_tacplus 库的 v1.3.7 编译d0nttr3@d0nm3
安装说明
pam
为您的 Linux 发行版安装开发包。RHEL / CentOS 调用它pam-devel
;Debian / Ubuntu 称之为libpam-dev
(虚拟包名称为libpam0g-dev
)。pam
模块解压到临时工作目录 (tar xvfz pam_tacplus-1.3.7.tar.gz
)cd
到创建的新文件夹中tar
。./configure; make; make install
以root 身份编辑
/etc/pam.d/sshd
并将此行添加为文件中的第一个条目:auth include tacacs
作为 root,创建一个名为的新文件
/etc/pam.d/tacacs
:每服务器/每用户说明
在每台服务器上以 root 用户身份,为所有需要的用户创建一个与 tacacs+ 用户名相匹配的本地 linux 用户帐户。作为最后的手段,用户可以选择使用
passwd
将他们的本地密码设置为他们喜欢的任何内容;tacacs+
但是,如果他们设置了本地密码,即使服务可用,他们也可以随时在本地登录。pam_tacplus 服务信息
该
pam_tacplus.so
模块如何工作的详细信息在此pam-list
存档的电子邮件中