Authentifizieren Sie Linux sshd mit TACACS + (Cisco ACS)

8

Unser Network Engineering-Team verwendet mehrere Linux-Server für die Syslog-Erfassung , Konfigurationssicherungen, TFTP usw.

Wir möchten TACACS + auf einem Cisco ACS-Computer als zentralen Authentifizierungsserver verwenden, auf dem wir Kennwörter ändern und Benutzeraktivitäten auf diesen Linux-Servern berücksichtigen können. Wir müssen auch auf das statische Passwort zurückgreifen, falls der tacacs + -Dienst nicht verfügbar ist.

Wie sshdauthentifizieren wir uns auf CentOS bei unserem Cisco ACS Tacacs + Server?


HINWEIS: Ich beantworte meine eigene Frage

Mike Pennington
quelle

Antworten:

11

Annahmen

  • Wir kompilieren pam_tacplus.soaus Version 1.3.7 der Bibliothek pam_tacplus
  • Der Cisco ACS-Server ist 192.0.2.27 und der geheime Tacacs + -Schlüssel ist d0nttr3@d0nm3

Installationsanleitung

  1. Fügen Sie den Hostnamen / die IP-Adresse des Linux-Servers zu Cisco ACS hinzu und starten Sie den Cisco ACS-Dienst neu
  2. Laden Sie das Tacacs + PAM-Modul von SourceForge herunter .
  3. Installieren Sie das pamEntwicklungspaket für Ihre Linux-Distribution. RHEL / CentOS nennen es pam-devel; Debian / Ubuntu nennen es libpam-dev(ein virtueller Paketname für libpam0g-dev).
  4. Entpacken Sie das tacacs + pam-Modul in ein temporäres Arbeitsverzeichnis ( tar xvfz pam_tacplus-1.3.7.tar.gz)
  5. cdin den neuen Ordner erstellt von tar.
  6. Als Wurzel: ./configure; make; make install
  7. Bearbeiten /etc/pam.d/sshdund fügen Sie diese Zeile als Root als ersten Eintrag in der Datei hinzu:

    auth include tacacs

  8. Erstellen Sie als root eine neue Datei mit dem Namen /etc/pam.d/tacacs:

    #% PAM-1.0
    Auth ausreichend /usr/local/lib/security/pam_tacplus.so Debug-Server = 192.0.2.27 secret = d0nttr3 @ d0nm3
    Konto ausreichend /usr/local/lib/security/pam_tacplus.so Debug-Server = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh
    Sitzung ausreichend /usr/local/lib/security/pam_tacplus.so Debug-Server = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh

Anweisungen pro Server / pro Benutzer

Erstellen Sie als Root auf jedem Server ein lokales Linux-Benutzerkonto, das dem Tacacs + Benutzernamen für alle erforderlichen Benutzer entspricht. Die Benutzer können optional verwenden passwd, um ihr lokales Kennwort als letzten Ausweg auf das zu setzen, was sie möchten. Wenn sie jedoch ein lokales Kennwort festlegen, können sie sich jederzeit lokal anmelden, ohne tacacs+dass der Dienst verfügbar ist.

pam_tacplus Serviceinformationen

Einzelheiten zur Funktionsweise des pam_tacplus.soModuls finden Sie in dieser pam-listarchivierten E-Mail

Mike Pennington
quelle
Wie verwalten wir Linux-Benutzergruppen? Ich verwende CISCO nicht als Client, sondern eine Linux-Box ist ein Client mit dem Modul pam_tacplus.
Chandank
@ Mike Pennington: Wissen Sie, wie Sie die lokalen Anmeldungen deaktivieren können, wenn ein Tacacs + -Server verfügbar ist? Wie soll ich die oben genannten Regeln festlegen und benötige ich dafür mehr Regeln?
Kaffee Tasse