我有两个 Ubuntu 工作站,我想配置它们使用我们的 TACACS+ 服务器而不是本地帐户进行登录。如何配置工作站以使用 tacacs 服务器?
答案1
在那里,我发现了有趣的项目——tacacsGUI.com。它是用于 tac_plus 配置的自托管前端 UI。我的安装很简单,试试看。此外,它还有一些优点,例如备份制作器对于自动备份,子网搜索器用于子网收集等。祝你好运!
答案2
我希望您不介意,但我只是想为其他人添加此信息……
只有在 32 位模式 (gcc -m32 ...) 下编译 xtacacs 版本 4.0 后,我才能在 Ubuntu 12.04.02 LTS 64 位系统上使用 Cisco AS2511 进行身份验证。如果我将其编译为默认的 64 位目标,它会出现各种奇怪的错误,例如 syslog 显示用户名“chris”被调换为“hcris”。
当然,我必须先加载 32 位系统库(sudo apt-get install ia32-libs)和 32 位头文件(sudo apt-get install gcc-multilib)。
答案3
参见 ServerFault 帖子 使用 TACACS+(思科 ACS)验证 Linux sshd
安装服务器
- 将 Linux 服务器的主机名/IP 地址添加到 Cisco ACS 中,然后重新启动 Cisco ACS 服务
- 下载tacacs+ PAM 模块来自 SourceForge。
- 为您的 Linux 发行版安装
pam开发包。RHEL / CentOS 称之为pam-devel;Debian / Ubuntu 称之为libpam-dev(的虚拟包名称libpam0g-dev)。 - 将 tacacs+
pam模块解压到临时工作目录中 cd进入 创建的新文件夹tar。- 以 root 身份:
./configure; make; make install 以 root 身份编辑
/etc/pam.d/sshd,并将此行添加为文件中的第一项:auth include tacacs以 root 身份创建一个名为的新文件
/etc/pam.d/tacacs:
#%PAM-1.0
身份验证充分 /usr/local/lib/security/pam_tacplus.so 调试服务器 = 192.0.2.27 秘密 = d0nttr3@d0nm3
帐户足够 /usr/local/lib/security/pam_tacplus.so 调试服务器 = 192.0.2.27 秘密 = d0nttr3@d0nm3 服务 = shell 协议 = ssh
会话足够 /usr/local/lib/security/pam_tacplus.so 调试服务器=192.0.2.27 秘密=d0nttr3@d0nm3 服务=shell 协议=ssh
每个服务器/每个用户的说明
在每个服务器上以 root 身份为所有需要的用户创建一个与 tacacs+ 用户名匹配的本地 Linux 用户帐户。用户可以选择passwd将本地密码设置为他们喜欢的任何密码作为最后的手段;但是,如果他们设置了本地密码,他们将能够随时在本地登录,即使tacacs+服务可用。
pam_tacplus 服务信息
该模块工作原理的详细信息pam_tacplus.so如下pam-list存档电子邮件
答案4
以下配置对于在 Linux 机器上没有用户的情况下进行用户身份验证很有用。
auth sufficient pam_unix.so try_first_pass nullok
auth required pam_krb5.so use_first_pass no_user_check
account sufficient pam_unix.so
account required pam_krb5.so no_user_check
account optional pam_permit.so
account required pam_time.so
password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password required pam_krb5.so use_authtok no_user_check
session required pam_limits.so
session optional pam_permit.so