使用 pam_tacplus 進行 Linux 身份驗證/授權的 tacacs+

我正在使用 TACACS+ 使用 pam_tacplus.so PAM 模組對 Linux 使用者進行身份驗證，它可以正常工作。

我已經修改了 pam_tacplus 模組以滿足我的一些自定義要求。

我知道預設情況下，TACACS+ 沒有任何方法支持 linux 組或對 linux bash 命令的訪問級別控制，但是，我想知道有沒有什麼方法可以從 TACACS+ 伺服器端傳遞一些資訊來讓 pam_tacplus.so 模組可用於允許/拒絕，或即時修改使用者組

$$ from pam module itself $$. 範例：如果我可以將 priv-lvl 編號從伺服器傳遞到客戶端，並且可以用於 PAM 模組的某些決策。

PS：我更喜歡在伺服器端不涉及修改的方法

$$ code $$, 所有的修改都應該在 Linux 端完成，即 pam_tacplus 模組。 謝謝你的幫助。

最終我得到了它的工作。

問題一：

我面臨的問題是，可用於為非 CISCO 設備配置 TACACS+ 伺服器的文件很少。

問題 2：

我正在使用的 tac_plus 版本

tac_plus -v
tac_plus version F4.0.4.28

好像不支持

service = shell protocol = ssh 

tac_plus.conf 文件中的選項。

所以最終我用

service = system  {
               default attribute = permit
               priv-lvl = 15
       }

在客戶端 (pam_tacplus.so)，

我在授權階段（pam_acct_mgmt）發送了 AVP service=system，它強制服務返回配置文件中定義的 priv-lvl，我用它來設置使用者的權限級別。

注意：在一些文件中提到 service=system 不再使用。因此，此選項可能不適用於 CISCO 設備。

高溫高壓

引用自：https://serverfault.com/questions/670210