Autentica sshd Linux con TACACS + (Cisco ACS)

8

Il nostro team di ingegneri di rete utilizza più server Linux per la raccolta di syslog , backup di configurazione, tftp, ecc ...

Vogliamo utilizzare TACACS + su una macchina Cisco ACS come nostro server di autenticazione centrale in cui possiamo modificare le password e tenere conto dell'attività degli utenti su questi server Linux. Dobbiamo anche ricorrere alla password statica nel caso in cui il servizio tacacs + sia inattivo.

Come possiamo fare sshdin CentOS l'autenticazione con il nostro server Cisco ACS tacacs +?

NOTA: sto rispondendo alla mia domanda

linux  ssh  cisco  authentication  tacacs+ 
Mike Pennington
fonte

Risposte:

11

ipotesi

  • Stiamo compilando pam_tacplus.sodalla v1.3.7 della libreria pam_tacplus
  • Il server Cisco ACS è 192.0.2.27 e la chiave segreta tacacs + è d0nttr3@d0nm3

Istruzioni per l'installazione

  1. Aggiungi il nome host / indirizzo IP del server linux in Cisco ACS e riavvia il servizio Cisco ACS
  2. Scarica il modulo tacacs + PAM da SourceForge.
  3. Installa il pampacchetto di sviluppo per la tua distribuzione Linux. RHEL / CentOS lo chiamano pam-devel; Debian / Ubuntu lo chiamano libpam-dev(un nome di pacchetto virtuale per libpam0g-dev).
  4. Decomprimi il pammodulo tacacs + in una directory di lavoro temporanea ( tar xvfz pam_tacplus-1.3.7.tar.gz)
  5. cdnella nuova cartella creata da tar.
  6. Come root: ./configure; make; make install

  7. Come root, modifica /etc/pam.d/sshde aggiungi questa riga come prima voce nel file:

    auth include tacacs

  8. Come root, crea un nuovo file chiamato /etc/pam.d/tacacs:

    #% PAM-1.0
    autent sufficiente /usr/local/lib/security/pam_tacplus.so server di debug = 192.0.2.27 segreto = d0nttr3 @ d0nm3
    account sufficiente /usr/local/lib/security/pam_tacplus.so server di debug = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh
    sessione sufficiente /usr/local/lib/security/pam_tacplus.so server di debug = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh

Istruzioni per server / per utente

Come root su ciascun server, crea un account utente Linux locale che corrisponda a tacacs + nome utente per tutti gli utenti richiesti. Gli utenti possono facoltativamente utilizzare passwdper impostare la password locale su qualsiasi cosa preferiscano come ultima risorsa; tuttavia, se impostano una password locale, potranno accedere localmente in qualsiasi momento, tacacs+anche se il servizio è disponibile.

pam_tacplus Informazioni sul servizio

I dettagli di come funziona il pam_tacplus.somodulo sono in questa pam-listemail archiviata

Mike Pennington
fonte
come gestiamo i gruppi di utenti Linux? Non sto usando CISCO come client, piuttosto una scatola di Linux è client con modulo pam_tacplus.
chandank,
@Mike Pennington: Sai come disabilitare gli accessi locali quando è disponibile un server tacacs +? Come devo organizzare le regole sopra e ho bisogno di più regole per questo?
coffeMug
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.