Я хотел бы знать к авторизовать (только позволяют ряд команд), пользователи на консоли Linux (удар). Я до сих пор могу аутентифицировать пользователей SSH по TACACS +, но авторизация не работает.
Это - мой tac_plus.conf файл, действительно упрощенный для тестирования:
accounting file = /tmp/tacacs.acc
#default authentication = file /etc/passwd
user=bart {
default service = deny
pap = cleartext "bart"
service = ppp protocol = lcp {
priv-lvl = 15
idletime = 10
}
cmd = telnet {
# permit specified telnets
permit 131\.108\.13\.[0-9]+
permit 128\.[0-9]+\.12\.3
}
}
Как я взаимодействую через интерфейс с PAM (если это - способ пойти) только разрешать пользователя использовать команды speficied TACACS? Я настроил PAM как это:
account sufficient pam_tacplus.so debug server=192.168.56.19 service=ppp protocol=lcp
auth sufficient pam_tacplus.so debug server=192.168.56.19
password sufficient pam_tacplus.so debug server=192.168.56.19
session sufficient pam_tacplus.so debug server=192.168.56.19 secret=testing123 service=ppp protocol=lcp
Кроме того, какая-либо идея whay это работает по SSH, но не по локальному консольному входу в систему?
спасибо!
После некоторых исследований я понял, что то, чего я хотел достичь, похоже, не поддерживается.
ACL уровня команд CLI не разрешен в Linux через TACACS, поэтому я закончил использовать TACACS для аутентификации (используя PAM с LDAP для хранения пользователя / пароля) и LDAP для авторизации (членство в группе).