우리의 네트워크 엔지니어링 팀은 syslog 수집 , 구성 백업, tftp 등을 위해 여러 개의 Linux 서버를 사용합니다 .
Cisco ACS 시스템의 TACACS +를 중앙 인증 서버 로 사용하여이 Linux 서버에서 암호를 변경하고 사용자 활동을 설명 할 수 있습니다. 또한 tacacs + 서비스가 다운 된 경우 정적 비밀번호로 대체해야합니다.
Cisco ACS tacacs + 서버 sshd
에 대해 CentOS 인증을 어떻게 수행 합니까?
참고 : 나는 내 자신의 질문에 대답하고있다
답변
가정
- pam_tacplus 라이브러리
pam_tacplus.so
v1.3.7에서 컴파일 중입니다. - Cisco ACS 서버는 192.0.2.27이며 비밀 tacacs + 키는
d0nttr3@d0nm3
설치 방법
- Linux 서버의 호스트 이름 / ip 주소를 Cisco ACS에 추가하고 Cisco ACS 서비스를 다시 시작하십시오.
- SourceForge에서 tacacs + PAM 모듈 을 다운로드하십시오 .
pam
Linux 배포판 용 개발 패키지를 설치 하십시오. RHEL / CentOS는 그것을 부릅니다pam-devel
; 데비안 / 우분투는 그것을libpam-dev
(가상 패키지 이름libpam0g-dev
) 이라고 부릅니다 .- tacacs +
pam
모듈을 임시 작업 디렉토리에 풉니 다 (tar xvfz pam_tacplus-1.3.7.tar.gz
) cd
에 의해 생성 된 새 폴더로tar
.- 루트로 :
./configure; make; make install
-
루트로 편집
/etc/pam.d/sshd
하고이 행을 파일의 첫 번째 항목으로 추가하십시오.auth include tacacs
-
루트로 다음과 같은 새 파일을 작성하십시오
/etc/pam.d/tacacs
.
# % PAM-1.0 인증 /usr/local/lib/security/pam_tacplus.so 디버그 서버 = 192.0.2.27 secret = d0nttr3 @ d0nm3 충분한 계정 /usr/local/lib/security/pam_tacplus.so 디버그 서버 = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh 충분한 세션 /usr/local/lib/security/pam_tacplus.so 디버그 서버 = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh
서버 별 / 사용자 별 지침
각 서버에서 루트로 모든 필수 사용자의 tacacs + 사용자 이름과 일치하는 로컬 Linux 사용자 계정을 작성하십시오. 사용자는 선택적으로 passwd
로컬 비밀번호를 최후의 수단으로 원하는대로 설정할 수 있습니다 . 그러나 로컬 암호를 설정 tacacs+
하면 서비스를 사용할 수 있더라도 언제든지 로컬로 로그인 할 수 있습니다.
pam_tacplus 서비스 정보
pam_tacplus.so
모듈 작동 방식에 대한 자세한 내용은 이 pam-list
보관 된 이메일에 있습니다.