Я использую TACACS + для аутентификации пользователей Linux, использующих pam_tacplus.so модуль PAM, и он работает без проблем.
Я изменил pam_tacplus модуль для встречи некоторых моих пользовательских требований.
Я знаю по умолчанию, TACACS + не имеет никаких средств поддерживать группы Linux или управление уровнем доступа командами удара Linux, однако, я задавался вопросом, там любой способ, которым некоторая информация могла быть передана от TACACS + сторона сервера для разрешения pam_tacplus.so модулю, который может использоваться, чтобы позволить/отклонить, или изменить группу пользователей на лету [от самого pam модуля].
Пример: Если я мог бы передать priv-lvl число от сервера до клиента и который мог бы использоваться для некоторого принятия решений в модуле PAM.
PS: Я предпочел бы метод, который не включил модификации в стороне сервера [код], вся модификация должна быть сделана в стороне Linux т.е. pam_tacplus модуле.
Спасибо за любую справку.
В конце концов, все заработало.
Проблема 1:
Проблема, с которой я столкнулся, заключалась в том, что было очень мало документации для настройки сервера TACACS + на Устройство CISCO.
Проблема 2:
Версия tac_plus, которую я использую
tac_plus -v
tac_plus version F4.0.4.28
, похоже, не поддерживает параметр
service = shell protocol = ssh
в файле tac_plus.conf.
В итоге я использовал
service = system {
default attribute = permit
priv-lvl = 15
}
на клиенте. side (pam_tacplus.so),
Я отправил AVP service = system на этапе авторизации (pam_acct_mgmt), который заставил службу вернуть priv-lvl, определенный в файле конфигурации, который я использовал для определения уровня привилегий пользователя.
ПРИМЕЧАНИЕ. В некоторых документах упоминается, что service = system больше не используется. Таким образом, этот параметр может не работать с устройствами CISCO.
HTH