Authentifiez Linux sshd avec TACACS + (Cisco ACS)

8

Notre équipe d'ingénierie réseau utilise plusieurs serveurs linux pour la collecte syslog , les sauvegardes de configuration, tftp, etc ...

Nous voulons utiliser TACACS + sur une machine Cisco ACS comme serveur d'authentification central où nous pouvons changer les mots de passe et tenir compte de l'activité des utilisateurs sur ces serveurs Linux. Nous devons également revenir au mot de passe statique au cas où le service tacacs + serait en panne.

Comment sshdauthentifier CentOS sur notre serveur Cisco ACS tacacs +?


REMARQUE: je réponds à ma propre question

Mike Pennington
la source

Réponses:

11

Hypothèses

instructions d'installation

  1. Ajoutez le nom d'hôte / l'adresse IP du serveur Linux dans Cisco ACS et redémarrez le service Cisco ACS
  2. Téléchargez le module tacacs + PAM depuis SourceForge.
  3. Installez le pampackage de développement pour votre distribution Linux. RHEL / CentOS l'appellent pam-devel; Debian / Ubuntu l'appellent libpam-dev(un nom de paquet virtuel pour libpam0g-dev).
  4. Décompressez le pammodule tacacs + dans un répertoire de travail temporaire ( tar xvfz pam_tacplus-1.3.7.tar.gz)
  5. cddans le nouveau dossier créé par tar.
  6. En tant que root: ./configure; make; make install
  7. En tant que root, modifiez /etc/pam.d/sshdet ajoutez cette ligne comme première entrée du fichier:

    auth include tacacs

  8. En tant que root, créez un nouveau fichier appelé /etc/pam.d/tacacs:

    #% PAM-1.0
    auth suffisante /usr/local/lib/security/pam_tacplus.so serveur de débogage = 192.0.2.27 secret = d0nttr3 @ d0nm3
    compte suffisant /usr/local/lib/security/pam_tacplus.so serveur de débogage = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = protocole shell = ssh
    session suffisante /usr/local/lib/security/pam_tacplus.so serveur de débogage = 192.0.2.27 secret = d0nttr3 @ d0nm3 service = protocole shell = ssh

Instructions par serveur / par utilisateur

En tant que root sur chaque serveur, créez un compte utilisateur Linux local qui correspond au nom d'utilisateur tacacs + pour tous les utilisateurs requis. Les utilisateurs peuvent éventuellement utiliser passwdpour définir leur mot de passe local comme ils le souhaitent en dernier recours; cependant, s'ils définissent un mot de passe local, ils pourront se connecter localement à tout moment sans tacacs+même que le service soit disponible.

pam_tacplus Informations sur le service

Les détails du fonctionnement du pam_tacplus.somodule se trouvent dans cet pam-liste-mail archivé

Mike Pennington
la source
comment gérons-nous les groupes d'utilisateurs Linux? Je n'utilise pas CISCO en tant que client, plutôt une boîte Linux est un client avec le module pam_tacplus.
chandank le
@Mike Pennington: Savez-vous comment désactiver les connexions locales lorsqu'un serveur tacacs + est disponible? Comment dois-je organiser les règles ci-dessus et ai-je besoin de plus de règles pour cela?
coffeMug