TACACS + (Cisco ACS)를 사용하여 Linux sshd 인증

8

우리의 네트워크 엔지니어링 팀은 syslog 수집 , 구성 백업, tftp 등을 위해 여러 개의 Linux 서버를 사용합니다 .

Cisco ACS 시스템의 TACACS +를 중앙 인증 서버 로 사용하여이 Linux 서버에서 암호를 변경하고 사용자 활동을 설명 할 수 있습니다. 또한 tacacs + 서비스가 다운 된 경우 정적 비밀번호로 대체해야합니다.

Cisco ACS tacacs + 서버 sshd에 대해 CentOS 인증을 어떻게 수행 합니까?

참고 : 나는 내 자신의 질문에 대답하고있다

linux  ssh  cisco  authentication  tacacs+ 
마이크 페닝 턴
소스

답변:

11

가정

  • pam_tacplus 라이브러리pam_tacplus.so v1.3.7에서 컴파일 중입니다.
  • Cisco ACS 서버는 192.0.2.27이며 비밀 tacacs + 키는 d0nttr3@d0nm3

설치 방법

  1. Linux 서버의 호스트 이름 / ip 주소를 Cisco ACS에 추가하고 Cisco ACS 서비스를 다시 시작하십시오.
  2. SourceForge에서 tacacs + PAM 모듈 을 다운로드하십시오 .
  3. pamLinux 배포판 용 개발 패키지를 설치 하십시오. RHEL / CentOS는 그것을 부릅니다 pam-devel; 데비안 / 우분투는 그것을 libpam-dev(가상 패키지 이름 libpam0g-dev) 이라고 부릅니다 .
  4. tacacs + pam모듈을 임시 작업 디렉토리에 풉니 다 ( tar xvfz pam_tacplus-1.3.7.tar.gz)
  5. cd에 의해 생성 된 새 폴더로 tar.
  6. 루트로 : ./configure; make; make install

  7. 루트로 편집 /etc/pam.d/sshd하고이 행을 파일의 첫 번째 항목으로 추가하십시오.

    auth include tacacs

  8. 루트로 다음과 같은 새 파일을 작성하십시오 /etc/pam.d/tacacs.

    # % PAM-1.0
    인증 /usr/local/lib/security/pam_tacplus.so 디버그 서버 = 192.0.2.27 secret = d0nttr3 @ d0nm3
    충분한 계정 /usr/local/lib/security/pam_tacplus.so 디버그 서버 = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh
    충분한 세션 /usr/local/lib/security/pam_tacplus.so 디버그 서버 = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh

서버 별 / 사용자 별 지침

각 서버에서 루트로 모든 필수 사용자의 tacacs + 사용자 이름과 일치하는 로컬 Linux 사용자 계정을 작성하십시오. 사용자는 선택적으로 passwd로컬 비밀번호를 최후의 수단으로 원하는대로 설정할 수 있습니다 . 그러나 로컬 암호를 설정 tacacs+하면 서비스를 사용할 수 있더라도 언제든지 로컬로 로그인 할 수 있습니다.

pam_tacplus 서비스 정보

pam_tacplus.so모듈 작동 방식에 대한 자세한 내용은 이 pam-list보관 된 이메일에 있습니다.

마이크 페닝 턴
소스
Linux 사용자 그룹을 어떻게 관리합니까? CISCO를 클라이언트로 사용하지 않고 Linux 상자가 pam_tacplus 모듈이있는 클라이언트입니다.
chandank
@ Mike Pennington : tacacs + 서버를 사용할 수있을 때 로컬 로그인을 비활성화하는 방법을 알고 있습니까? 위의 규칙을 어떻게 정리해야하며 이에 대한 추가 규칙이 필요합니까?
coffeMug
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.