我知道已经存在类似且相当老的问题,也许使用 tacacs+ 不是最先进的,但我需要使用 TACACS+ 协议向 Cisco ISE 验证 Ubuntu 22.04 服务器上的用户。我按照上述步骤操作,但不知何故它没有按预期工作。让我从配置开始,这是我的
/etc/pam.d/sshd:
auth include tacacs
auth include system-remote-login
account include system-remote-login
password include system-remote-login
session include system-remote-login
这是我的 /etc/pam.d/tacacs
auth sufficient /usr/lib/security/pam_tacplus.so server=10.0.0.1 secret=mySecret prompt=password:
account sufficient /usr/lib/security/pam_tacplus.so server=10.0.0.1 secret=mySecret
session sufficient /usr/lib/security/pam_tacplus.so server=10.0.0.1 secret=mySecret
根据我的 /var/log/auth.log,ISE 服务器运行良好(第一行):
Sep 20 14:48:37 myServer sshd[1457833]: pam_sm_authenticate: user [username] obtained
Sep 20 14:48:37 myServer sshd[1457833]: Failed password for username from 10.1.1.1 port 36350 ssh2
Sep 20 14:48:37 myServer sshd[1457833]: fatal: Access denied for user username by PAM account configuration [preauth]
但是我不明白第二行和第三行。用户 username 存在于 /etc/passwd 和 /etc/shadow 中,没有本地密码:“username:!:12343::::::”
密码正确,我忘记了什么?非常感谢,
拉努格