Estou usando TACACS+ para autenticar usuários Linux usando o módulo PAM pam_tacplus.so e funciona sem problemas.
Modifiquei o módulo pam_tacplus para atender a alguns dos meus requisitos personalizados.
Eu sei que, por padrão, o TACACS+ não tem nenhum meio de suportar grupos Linux ou controle de nível de acesso sobre comandos bash do Linux, no entanto, eu queria saber se existe alguma maneira de passar algumas informações do lado do servidor TACACS+ para permitir o módulo pam_tacplus.so que pode ser usado para permitir/negar ou modificar o grupo de usuários instantaneamente [do próprio módulo pam].
Exemplo: Se eu pudesse passar o número priv-lvl do servidor para o cliente e que poderia ser usado para alguma tomada de decisão no módulo PAM.
PS: Eu preferiria um método que não envolvesse nenhuma modificação no lado do servidor [código], todas as modificações deveriam ser feitas no lado do Linux, ou seja, módulo pam_tacplus.
Obrigado por qualquer ajuda.
Responder1
Eventualmente consegui fazer funcionar.
Problema 1:
O problema que enfrentei foi que há muito pouca documentação disponível para configurar o servidor TACACS+ para um dispositivo não CISCO.
Edição 2:
A versão tac_plus que estou usando
tac_plus -v
tac_plus version F4.0.4.28
não parece apoiar
service = shell protocol = ssh
opção no arquivo tac_plus.conf.
Então eventualmente eu usei
service = system {
default attribute = permit
priv-lvl = 15
}
No lado do cliente (pam_tacplus.so),
Enviei o AVP service=system na fase de autorização (pam_acct_mgmt), o que forçou o serviço a retornar o priv-lvl definido no arquivo de configuração, que utilizei para o nível de privilégio do dispositivo do usuário.
NOTA: Em algumas documentações é mencionado que service=system não é mais usado. Portanto, esta opção pode não funcionar com dispositivos CISCO.
HTH