Xác thực sshd Linux bằng TACACS + (Cisco ACS)

8

Nhóm kỹ thuật mạng của chúng tôi sử dụng nhiều máy chủ linux để thu thập syslog , sao lưu cấu hình, tftp, v.v ...

Chúng tôi muốn sử dụng TACACS + trên máy Cisco ACS làm máy chủ xác thực trung tâm nơi chúng tôi có thể thay đổi mật khẩu và tài khoản cho hoạt động của người dùng trên các máy chủ linux này. Chúng ta cũng cần quay lại mật khẩu tĩnh trong trường hợp dịch vụ tacacs + không hoạt động.

Làm cách nào để chúng tôi thực hiện sshdtrên CentOS xác thực với máy chủ Cisco ACS tacacs + của chúng tôi ?

LƯU Ý: Tôi đang trả lời câu hỏi của riêng tôi

linux  ssh  cisco  authentication  tacacs+ 
Mike Pennington
nguồn

Câu trả lời:

11

Giả định

  • Chúng tôi đang biên dịch pam_tacplus.sotừ v1.3.7 của thư viện pam_tacplus
  • Máy chủ Cisco ACS là 192.0.2.27 và khóa tacacs + bí mật là d0nttr3@d0nm3

hướng dẫn cài đặt

  1. Thêm địa chỉ tên máy chủ / ip của máy chủ linux vào Cisco ACS và khởi động lại dịch vụ Cisco ACS
  2. Tải xuống mô-đun tacacs + PAM từ SourceForge.
  3. Cài đặt pamgói phát triển cho bản phân phối linux của bạn. RHEL / CentOS gọi nó pam-devel; Debian / Ubuntu gọi nó libpam-dev(tên gói ảo cho libpam0g-dev).
  4. Bỏ pammô-đun tacacs + vào một thư mục làm việc tạm thời ( tar xvfz pam_tacplus-1.3.7.tar.gz)
  5. cdvào thư mục mới được tạo bởi tar.
  6. Là gốc: ./configure; make; make install

  7. Với quyền root, chỉnh sửa /etc/pam.d/sshdvà thêm dòng này làm mục nhập đầu tiên trong tệp:

    auth include tacacs

  8. Khi root, tạo một tệp mới gọi là /etc/pam.d/tacacs:

    #% PAM-1.0
    auth đủ /usr/local/lib/security/pam_tacplus.so gỡ lỗi máy chủ = 192.0.2.27 secret = d0nttr3 @ d0nm3
    tài khoản đủ /usr/local/lib/security/pam_tacplus.so gỡ lỗi máy chủ = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell Protocol = ssh
    phiên đủ /usr/local/lib/security/pam_tacplus.so gỡ lỗi máy chủ = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell Protocol = ssh

Hướng dẫn mỗi máy chủ / mỗi người dùng

Với quyền root trên mỗi máy chủ, hãy tạo một tài khoản người dùng linux cục bộ phù hợp với tên người dùng tacacs + cho tất cả người dùng cần thiết. Người dùng có thể tùy chọn sử dụng passwdđể đặt mật khẩu cục bộ của mình thành bất cứ thứ gì họ thích như là phương sách cuối cùng; tuy nhiên, nếu họ đặt mật khẩu cục bộ, họ sẽ có thể đăng nhập cục bộ bất cứ lúc nào mà không cần tacacs+đến dịch vụ.

thông tin dịch vụ pam_tacplus

Chi tiết về cách thức pam_tacplus.sohoạt động của mô-đun trong email lưu trữ nàypam-list

Mike Pennington
nguồn
Làm thế nào để chúng ta quản lý các nhóm người dùng Linux? Tôi không sử dụng CISCO làm máy khách, thay vào đó, hộp linux là máy khách với mô-đun pam_tacplus.
chandank 19/2/2015
@Mike Pennington: Bạn có biết cách vô hiệu hóa đăng nhập cục bộ khi máy chủ tacacs + có sẵn không? Tôi nên sắp xếp các quy tắc trên như thế nào và tôi có cần thêm quy tắc cho việc đó không?
coffeMug
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.