Linux

使用 pam_tacplus 進行 Linux 身份驗證/授權的 tacacs+

  • May 14, 2018

我正在使用 TACACS+ 使用 pam_tacplus.so PAM 模組對 Linux 使用者進行身份驗證,它可以正常工作。

我已經修改了 pam_tacplus 模組以滿足我的一些自定義要求。

我知道預設情況下,TACACS+ 沒有任何方法支持 linux 組或對 linux bash 命令的訪問級別控制,但是,我想知道有沒有什麼方法可以從 TACACS+ 伺服器端傳遞一些資訊來讓 pam_tacplus.so 模組可用於允許/拒絕,或即時修改使用者組

$$ from pam module itself $$. 範例:如果我可以將 priv-lvl 編號從伺服器傳遞到客戶端,並且可以用於 PAM 模組的某些決策。

PS:我更喜歡在伺服器端不涉及修改的方法

$$ code $$, 所有的修改都應該在 Linux 端完成,即 pam_tacplus 模組。 謝謝你的幫助。

最終我得到了它的工作。

問題一:

我面臨的問題是,可用於為非 CISCO 設備配置 TACACS+ 伺服器的文件很少。

問題 2:

我正在使用的 tac_plus 版本

tac_plus -v
tac_plus version F4.0.4.28

好像不支持

service = shell protocol = ssh 

tac_plus.conf 文件中的選項。

所以最終我用

service = system  {
               default attribute = permit
               priv-lvl = 15
       }

在客戶端 (pam_tacplus.so),

我在授權階段(pam_acct_mgmt)發送了 AVP service=system,它強制服務返回配置文件中定義的 priv-lvl,我用它來設置使用者的權限級別。

注意:在一些文件中提到 service=system 不再使用。因此,此選項可能不適用於 CISCO 設備。

高溫高壓

引用自:https://serverfault.com/questions/670210