Linux sshdをTACACS +（Cisco ACS）で認証する

ネットワークエンジニアリングチームは、syslogの収集、構成のバックアップ、tftpなどに複数のLinuxサーバーを使用しています。

これらのLinuxサーバーでのユーザーアクティビティのパスワードとアカウントを変更できる中央認証サーバーとして、Cisco ACSマシンで TACACS +を使用したいと考えています。tacacs +サービスがダウンした場合に備えて、静的パスワードにフォールバックする必要もあります。

sshdCentOSでCisco ACS tacacs +サーバーを認証するにはどうすればよいですか？

注：私は自分の質問に答えています

仮定

• pam_tacplus.sopam_tacplus ライブラリの v1.3.7からコンパイルしています
• Cisco ACSサーバーは192.0.2.27で、秘密のtacacs +キーは d0nttr3@d0nm3

インストール手順

1. Linuxサーバーのホスト名/ IPアドレスをCisco ACSに追加し、Cisco ACSサービスを再起動します
2. SourceForgeからtacacs + PAMモジュールをダウンロードしてください。
3. pamLinuxディストリビューション用の開発パッケージをインストールします。RHEL / CentOSはそれを呼び出しますpam-devel。Debian / Ubuntuはそれを呼び出しますlibpam-dev（の仮想パッケージ名libpam0g-dev）。
4. tacacs + pamモジュールを一時作業ディレクトリに解凍します（tar xvfz pam_tacplus-1.3.7.tar.gz）
5. cdによって作成された新しいフォルダにtar。
6. ルートとして： ./configure; make; make install

7. rootとして、を編集/etc/pam.d/sshdし、ファイルの最初のエントリとして次の行を追加します。

   auth include tacacs

8. rootとして、次の名前の新しいファイルを作成します/etc/pam.d/tacacs。

    ＃％PAM-1.0
    十分な認証/usr/local/lib/security/pam_tacplus.so debug server = 192.0.2.27 secret = d0nttr3 @ d0nm3
    アカウント十分な/usr/local/lib/security/pam_tacplus.so debug server = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh
    セッションは十分/usr/local/lib/security/pam_tacplus.so debug server = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = shell protocol = ssh

サーバーごと/ユーザーごとの手順

各サーバーのrootとして、必要なすべてのユーザーのtacacs +ユーザー名と一致するローカルLinuxユーザーアカウントを作成します。ユーザーはオプションでpasswd、ローカルパスワードを最後の手段として好きなものに設定できます。ただし、ローカルパスワードを設定するとtacacs+、サービスが利用可能であっても、いつでもローカルでログインできます。

pam_tacplusサービス情報

pam_tacplus.soモジュールの動作の詳細は、このpam-listアーカイブされた電子メールにあります