Otentikasi Linux sshd dengan TACACS + (Cisco ACS)

8

Tim rekayasa jaringan kami menggunakan beberapa server linux untuk koleksi syslog , cadangan konfigurasi, tftp, dll ...

Kami ingin menggunakan TACACS + pada mesin Cisco ACS sebagai server otentikasi pusat kami tempat kami dapat mengubah kata sandi dan akun untuk aktivitas pengguna di server linux ini. Kita juga harus kembali ke kata sandi statis kalau-kalau layanan tacacs + sedang down.

Bagaimana cara kami membuat sshdCentOS mengotentikasi terhadap server Cisco ACS tacac + kami?


CATATAN: Saya menjawab pertanyaan saya sendiri

Mike Pennington
sumber

Jawaban:

11

Asumsi

  • Kami mengkompilasi pam_tacplus.sodari v1.3.7 dari pam_tacplus library
  • Server Cisco ACS adalah 192.0.2.27, dan kunci tacacs rahasia adalah d0nttr3@d0nm3

instruksi instalasi

  1. Tambahkan hostname / alamat ip server linux ke Cisco ACS dan restart layanan Cisco ACS
  2. Unduh modul tacacs + PAM dari SourceForge.
  3. Instal pampaket pengembangan untuk distro linux Anda. RHEL / CentOS menyebutnya pam-devel; Debian / Ubuntu menyebutnya libpam-dev(nama paket virtual untuk libpam0g-dev).
  4. Batalkan tacacs + pammodule ke direktori kerja sementara ( tar xvfz pam_tacplus-1.3.7.tar.gz)
  5. cdke dalam folder baru yang dibuat oleh tar.
  6. Sebagai root: ./configure; make; make install
  7. Sebagai root, edit /etc/pam.d/sshd, dan tambahkan baris ini sebagai entri pertama dalam file:

    auth include tacacs

  8. Sebagai root, buat file baru bernama /etc/pam.d/tacacs:

    #% PAM-1.0
    auth memadai /usr/local/lib/security/pam_tacplus.so server debug = 192.0.2.27 rahasia = d0nttr3 @ d0nm3
    akun yang cukup /usr/local/lib/security/pam_tacplus.so server debug = 192.0.2.27 rahasia = d0nttr3 @ layanan d0nm3 = protokol shell = ssh
    sesi yang cukup /usr/local/lib/security/pam_tacplus.so server debug = 192.0.2.27 rahasia = d0nttr3 @ layanan d0nm3 = protokol shell = ssh

Instruksi Per-Server / Per-Pengguna

Sebagai root pada setiap server, buat akun pengguna linux lokal yang cocok dengan tacacs + nama pengguna untuk semua pengguna yang diperlukan. Pengguna dapat secara opsional menggunakan passwduntuk mengatur kata sandi lokal mereka ke apa pun yang mereka suka sebagai pilihan terakhir; namun, jika mereka menetapkan kata sandi lokal, mereka akan dapat masuk secara lokal kapan saja tacacs+bahkan tanpa layanan.

pam_tacplus Informasi layanan

Detail tentang cara kerja pam_tacplus.somodul di email yang diarsipkan inipam-list

Mike Pennington
sumber
bagaimana cara kita mengelola grup pengguna Linux? Saya tidak menggunakan CISCO sebagai klien, melainkan kotak linux adalah klien dengan modul pam_tacplus.
chandank
@ Mike Pennington: Apakah Anda tahu cara menonaktifkan login lokal ketika tacacs + server tersedia? Bagaimana saya harus mengatur aturan di atas dan apakah saya perlu lebih banyak aturan untuk itu?
coffeMug