Linux
使用 pam_tacplus 進行 Linux 身份驗證/授權的 tacacs+
我正在使用 TACACS+ 使用 pam_tacplus.so PAM 模組對 Linux 使用者進行身份驗證,它可以正常工作。
我已經修改了 pam_tacplus 模組以滿足我的一些自定義要求。
我知道預設情況下,TACACS+ 沒有任何方法支持 linux 組或對 linux bash 命令的訪問級別控制,但是,我想知道有沒有什麼方法可以從 TACACS+ 伺服器端傳遞一些資訊來讓 pam_tacplus.so 模組可用於允許/拒絕,或即時修改使用者組
$$ from pam module itself $$. 範例:如果我可以將 priv-lvl 編號從伺服器傳遞到客戶端,並且可以用於 PAM 模組的某些決策。
PS:我更喜歡在伺服器端不涉及修改的方法
$$ code $$, 所有的修改都應該在 Linux 端完成,即 pam_tacplus 模組。 謝謝你的幫助。
最終我得到了它的工作。
問題一:
我面臨的問題是,可用於為非 CISCO 設備配置 TACACS+ 伺服器的文件很少。
問題 2:
我正在使用的 tac_plus 版本
tac_plus -v tac_plus version F4.0.4.28
好像不支持
service = shell protocol = ssh
tac_plus.conf 文件中的選項。
所以最終我用
service = system { default attribute = permit priv-lvl = 15 }
在客戶端 (pam_tacplus.so),
我在授權階段(pam_acct_mgmt)發送了 AVP service=system,它強制服務返回配置文件中定義的 priv-lvl,我用它來設置使用者的權限級別。
注意:在一些文件中提到 service=system 不再使用。因此,此選項可能不適用於 CISCO 設備。
高溫高壓