Autentique o sshd do Linux com o TACACS + (Cisco ACS)

8

Nossa equipe de engenharia de rede usa vários servidores Linux para coleta de syslog , backups de configuração, tftp, etc ...

Queremos usar o TACACS + em uma máquina Cisco ACS como nosso servidor de autenticação central, onde podemos alterar senhas e contabilizar a atividade do usuário nesses servidores linux. Também precisamos voltar à senha estática, caso o serviço tacacs + esteja inativo.

Como fazemos sshda autenticação no CentOS no servidor Cisco ACS tacacs +?

NOTA: Estou respondendo minha própria pergunta

linux ssh cisco authentication tacacs+ Mike Pennington
fonte

Respostas:

11

Premissas

  • Estamos compilando a pam_tacplus.sopartir da v1.3.7 da biblioteca pam_tacplus
  • O servidor Cisco ACS é 192.0.2.27 e a chave secreta tacacs + é d0nttr3@d0nm3

instruções de instalação

  1. Adicione o nome do host / endereço IP do servidor linux ao Cisco ACS e reinicie o serviço Cisco ACS
  2. Faça o download do módulo tacacs + PAM no SourceForge.
  3. Instale o pampacote de desenvolvimento para sua distribuição Linux. RHEL / CentOS chamam pam-devel; O Debian / Ubuntu o chama libpam-dev(um nome de pacote virtual para libpam0g-dev).
  4. Descompacte o pammódulo tacacs + em um diretório ativo temporário ( tar xvfz pam_tacplus-1.3.7.tar.gz)
  5. cdpara a nova pasta criada por tar.
  6. Como raiz: ./configure; make; make install

  7. Como root, edite /etc/pam.d/sshde adicione esta linha como a primeira entrada no arquivo:

    auth include tacacs

  8. Como root, crie um novo arquivo chamado /etc/pam.d/tacacs:

    #% PAM-1.0
    servidor de depuração suficiente /usr/local/lib/security/pam_tacplus.so = 192.0.2.27 secret = d0nttr3 @ d0nm3
    servidor de depuração suficiente /usr/local/lib/security/pam_tacplus.so = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh
    servidor de depuração suficiente /usr/local/lib/security/pam_tacplus.so = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh

Instruções por servidor / por usuário

Como raiz em cada servidor, crie uma conta de usuário linux local que corresponda ao tacacs + nome de usuário para todos os usuários necessários. Os usuários podem opcionalmente usar passwdpara definir sua senha local para o que quiserem como último recurso; no entanto, se eles definirem uma senha local, poderão fazer login localmente a qualquer momento, sem tacacs+que o serviço esteja disponível.

Informações de serviço pam_tacplus

Os detalhes de como o pam_tacplus.somódulo funciona estão neste pam-listemail arquivado

Mike Pennington
fonte
como gerenciamos grupos de usuários do Linux? Eu não estou usando CISCO como cliente, mas uma caixa Linux é cliente com módulo pam_tacplus.
19415 chandank
@ Mike Pennington: Você sabe como desativar os logins locais quando um servidor tacacs + está disponível? Como devo organizar as regras acima e preciso de mais regras para isso?
precisa saber é o seguinte