TACACS + (Cisco ACS)를 사용하여 Linux sshd 인증 활동을 설명

우리의 네트워크 엔지니어링 팀은 syslog 수집 , 구성 백업, tftp 등을 위해 여러 개의 Linux 서버를 사용합니다 .

Cisco ACS 시스템의 TACACS +를 중앙 인증 서버 로 사용하여이 Linux 서버에서 암호를 변경하고 사용자 활동을 설명 할 수 있습니다. 또한 tacacs + 서비스가 다운 된 경우 정적 비밀번호로 대체해야합니다.

Cisco ACS tacacs + 서버 sshd에 대해 CentOS 인증을 어떻게 수행 합니까?


참고 : 나는 내 자신의 질문에 대답하고있다



답변

가정

  • pam_tacplus 라이브러리pam_tacplus.so v1.3.7에서 컴파일 중입니다.
  • Cisco ACS 서버는 192.0.2.27이며 비밀 tacacs + 키는 d0nttr3@d0nm3

설치 방법

  1. Linux 서버의 호스트 이름 / ip 주소를 Cisco ACS에 추가하고 Cisco ACS 서비스를 다시 시작하십시오.
  2. SourceForge에서 tacacs + PAM 모듈 을 다운로드하십시오 .
  3. pamLinux 배포판 용 개발 패키지를 설치 하십시오. RHEL / CentOS는 그것을 부릅니다 pam-devel; 데비안 / 우분투는 그것을 libpam-dev(가상 패키지 이름 libpam0g-dev) 이라고 부릅니다 .
  4. tacacs + pam모듈을 임시 작업 디렉토리에 풉니 다 ( tar xvfz pam_tacplus-1.3.7.tar.gz)
  5. cd에 의해 생성 된 새 폴더로 tar.
  6. 루트로 : ./configure; make; make install
  7. 루트로 편집 /etc/pam.d/sshd하고이 행을 파일의 첫 번째 항목으로 추가하십시오.

    auth include tacacs

  8. 루트로 다음과 같은 새 파일을 작성하십시오 /etc/pam.d/tacacs.

    # % PAM-1.0
    인증 /usr/local/lib/security/pam_tacplus.so 디버그 서버 = 192.0.2.27 secret = d0nttr3 @ d0nm3
    충분한 계정 /usr/local/lib/security/pam_tacplus.so 디버그 서버 = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh
    충분한 세션 /usr/local/lib/security/pam_tacplus.so 디버그 서버 = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh

서버 별 / 사용자 별 지침

각 서버에서 루트로 모든 필수 사용자의 tacacs + 사용자 이름과 일치하는 로컬 Linux 사용자 계정을 작성하십시오. 사용자는 선택적으로 passwd로컬 비밀번호를 최후의 수단으로 원하는대로 설정할 수 있습니다 . 그러나 로컬 암호를 설정 tacacs+하면 서비스를 사용할 수 있더라도 언제든지 로컬로 로그인 할 수 있습니다.

pam_tacplus 서비스 정보

pam_tacplus.so모듈 작동 방식에 대한 자세한 내용은 이 pam-list보관 된 이메일에 있습니다.