使用TACACS(Cisco ACS)验证Linux sshd
我们的网络工程团队使用多个
Linux服务器进行
syslog collection,配置备份,tftp等…
我们希望在Cisco ACS machine上使用TACACS作为我们的中央认证服务器,我们可以在这些服务器上更改密码并在这些Linux服务器上记录用户活动.如果tacacs服务中断,我们还需要回退到静态密码. 我们如何让CentOS上的 注意:我是answering my own question 解决方法
假设
>我们正在从pam_tacplus library的v1.3.7编译pam_tacplus.so 安装说明 >将Linux服务器的主机名/ IP地址添加到Cisco ACS并重新启动Cisco ACS服务 auth包括tacacs #%PAM-1.0 auth sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 account sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh session sufficient /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh 每服务器/每用户指令 在每台服务器上以root身份创建一个本地linux用户帐户,该帐户与所有必需用户的tacacs用户名相匹配.用户可以选择使用passwd将他们的本地密码设置为他们喜欢的任何地方作为最后的手段;但是,如果他们设置了本地密码,即使服务可用,他们也可以随时在本地登录而无需tacac. pam_tacplus服务信息 有关pam_tacplus.so模块如何工作的详细信息,请参阅此 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |