Estoy usando TACACS+ para autenticar a los usuarios de Linux usando el módulo PAM pam_tacplus.so y funciona sin problemas.
Modifiqué el módulo pam_tacplus para cumplir con algunos de mis requisitos personalizados.
Sé que, de forma predeterminada, TACACS+ no tiene ningún medio para admitir grupos de Linux o control de nivel de acceso sobre comandos bash de Linux, sin embargo, me preguntaba si hay alguna manera de que se pueda pasar alguna información desde el lado del servidor TACACS+ para permitir que el módulo pam_tacplus.so que se puede utilizar para permitir/denegar o modificar el grupo de usuarios sobre la marcha [desde el propio módulo pam].
Ejemplo: si pudiera pasar el número de nivel privado del servidor al cliente y que podría usarse para tomar decisiones en el módulo PAM.
PD: Preferiría un método que no implicara modificaciones en el lado del servidor [código], todas las modificaciones deberían realizarse en el lado de Linux, es decir, en el módulo pam_tacplus.
Gracias por cualquier ayuda.
Respuesta1
Finalmente lo hice funcionar.
Número 1:
El problema que enfrenté fue que hay muy poca documentación disponible para configurar el servidor TACACS+ para un dispositivo que no sea CISCO.
Número 2:
La versión tac_plus que estoy usando
tac_plus -v
tac_plus version F4.0.4.28
no parece apoyar
service = shell protocol = ssh
opción en el archivo tac_plus.conf.
Así que finalmente usé
service = system {
default attribute = permit
priv-lvl = 15
}
Del lado del cliente (pam_tacplus.so),
Envié el servicio AVP = sistema en la fase de autorización (pam_acct_mgmt), lo que obligó al servicio a devolver priv-lvl definido en el archivo de configuración, que usé para el nivel de privilegio del dispositivo del usuario.
NOTA: En algunas documentaciones se menciona que service=system ya no se utiliza. Por lo tanto, es posible que esta opción no funcione con dispositivos CISCO.
HT