我正在使用 TACACS+ 透過 pam_tacplus.so PAM 模組對 Linux 用戶進行身份驗證,並且它可以正常工作。
我修改了 pam_tacplus 模組以滿足我的一些自訂要求。
我知道預設情況下,TACACS+ 沒有任何方法來支援 linux 群組或對 linux bash 命令的存取等級控制,但是,我想知道是否有任何方法可以從 TACACS+ 伺服器端傳遞一些資訊以使 pam_tacplus.so 模組它可用於允許/拒絕,或動態修改使用者群組[從pam 模組本身]。
範例:如果我可以將 priv-lvl 編號從伺服器傳遞到客戶端,並且可以將其用於 PAM 模組的某些決策。
PS:我更喜歡一種不涉及伺服器端修改的方法[程式碼],所有修改都應該在Linux端完成,也就是pam_tacplus模組。
謝謝你的幫忙。
答案1
最終我成功了。
問題一:
我面臨的問題是,可用於為非 CISCO 設備配置 TACACS+ 伺服器的文件非常少。
問題2:
我正在使用的 tac_plus 版本
tac_plus -v
tac_plus version F4.0.4.28
似乎不支持
service = shell protocol = ssh
tac_plus.conf 檔案中的選項。
所以最終我用了
service = system {
default attribute = permit
priv-lvl = 15
}
在客戶端(pam_tacplus.so),
我在授權階段發送了 AVP service=system (pam_acct_mgmt),這迫使服務傳回在設定檔中定義的 priv-lvl,我用它來裝置使用者的權限等級。
注意:在某些文件中提到不再使用 service=system 。因此此選項可能不適用於 CISCO 裝置。
華泰