Аутентифицируйте Linux sshd с TACACS + (Cisco ACS)

8

Наша команда по проектированию сетей использует несколько серверов linux для сбора системных журналов , резервного копирования конфигурации, tftp и т. Д.

Мы хотим использовать TACACS + на машине Cisco ACS в качестве нашего центрального сервера аутентификации, где мы можем изменять пароли и учетную запись для действий пользователя на этих серверах Linux. Мы также должны вернуться к статическому паролю в случае, если служба tacacs + не работает.

Как мы делаем sshdна CentOS аутентификацию на нашем сервере Cisco ACS tacacs +?

ПРИМЕЧАНИЕ: я отвечаю на свой вопрос

linux ssh cisco authentication tacacs+ Майк Пеннингтон
источник

Ответы:

11

Предположения

инструкции по установке

  1. Добавьте имя хоста / IP-адрес сервера Linux в Cisco ACS и перезапустите сервис Cisco ACS.
  2. Загрузите модуль tacacs + PAM с SourceForge.
  3. Установите pamпакет разработки для вашего дистрибутива Linux. RHEL / CentOS называют это pam-devel; Debian / Ubuntu называют его libpam-dev(имя виртуального пакета для libpam0g-dev).
  4. Разархивируйте pamмодуль tacacs + во временный рабочий каталог ( tar xvfz pam_tacplus-1.3.7.tar.gz)
  5. cdв новую папку, созданную tar.
  6. Как корень: ./configure; make; make install

  7. От имени пользователя root отредактируйте /etc/pam.d/sshdи добавьте эту строку в качестве первой записи в файле:

    auth include tacacs

  8. В качестве пользователя root создайте новый файл с именем /etc/pam.d/tacacs:

    #% РАМ-1,0
    достаточно аутентификации /usr/local/lib/security/pam_tacplus.so сервер отладки = 192.0.2.27 secret = d0nttr3 @ d0nm3
    достаточно учетной записи /usr/local/lib/security/pam_tacplus.so сервер отладки = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = протокол оболочки = ssh
    достаточно сеанса /usr/local/lib/security/pam_tacplus.so сервер отладки = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = протокол оболочки = ssh

Инструкции для каждого сервера / пользователя

В качестве пользователя root на каждом сервере создайте локальную учетную запись пользователя linux, которая соответствует имени пользователя tacacs + для всех необходимых пользователей. Пользователи могут по желанию использовать passwdдля установки своего локального пароля то, что им нравится в качестве крайней меры; однако, если они установят локальный пароль, они смогут войти в систему локально в любое время, tacacs+даже если служба доступна.

pam_tacplus Сервисная информация

Детали того, как pam_tacplus.soработает модуль, находятся в этом pam-listархивном письме

Майк Пеннингтон
источник
Как мы управляем группами пользователей Linux? Я не использую CISCO в качестве клиента, скорее, linux box - это клиент с модулем pam_tacplus.
Чанданк
@Mike Pennington: Знаете ли вы, как отключить локальный вход в систему, когда сервер tacacs + доступен? Как мне организовать вышеперечисленные правила и нужно ли мне больше правил для этого?
coffeMug