使用TACACS(Cisco ACS)验证Linux sshd

>我们正在从pam_tacplus library的v1.3.7编译pam_tacplus.so
> Cisco ACS服务器为192.0.2.27,秘密tacacs密钥为d0nttr3 @ d0nm3

安装说明

>将Linux服务器的主机名/ IP地址添加到Cisco ACS并重新启动Cisco ACS服务
>从SourceForge下载tacacs+ PAM module.
>为您的Linux发行版安装pam开发包. RHEL / CentOS称之为pam-devel; Debian / Ubuntu称之为libpam-dev(libpam0g-dev的虚拟包名).
>将tacacs pam模块解压缩到临时工作目录(tar xvfz pam_tacplus-1.3.7.ta??r.gz)
> cd进入tar创建的新文件夹.
>以root身份：./ configure;使; make install
>以root身份编辑/etc/pam.d/sshd,并将此行添加为文件中的第一个条目：

auth包括tacacs
>以root身份创建一个名为/etc/pam.d/tacacs的新文件：

    #%PAM-1.0
    auth       sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3
    account    sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh
    session    sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh

每服务器/每用户指令

在每台服务器上以root身份创建一个本地linux用户帐户,该帐户与所有必需用户的tacacs用户名相匹配.用户可以选择使用passwd将他们的本地密码设置为他们喜欢的任何地方作为最后的手段;但是,如果他们设置了本地密码,即使服务可用,他们也可以随时在本地登录而无需tacac.

pam_tacplus服务信息

有关pam_tacplus.so模块如何工作的详细信息,请参阅此pam-list archived email