Рейтинг@Mail.ru
[Войти] [Зарегистрироваться]

Наши друзья и партнеры

UnixForum






Книги по Linux (с отзывами читателей)

Библиотека сайта rus-linux.net

Авторизация пользователей Internet с TACACS

У меня на работе TACACS используется для аутенфикации dial-up Internet пользователей (которые соединяются с нашим модемным пулом, который связан с двумя Cisco 250x access servers), мы используем Vikas версию “ xtacacsd”.

После компиляции и установке пакета Vikas (последние версии доступны на ftp://ftp.navya.com/pub/vikas; насколько мне известно, пакет недоступен в формате RPM), вы должны добавить такие записи в файл ``/etc/inetd.conf'', чтобы daemon был загружен inetd всякий раз, когда получен запрос TACACS.


# TACACS is a user authentication protocol used for Cisco Router products.
tacacs dgram udp wait root /etc/xtacacsd xtacacsd -c /etc/xtacacsd-conf

Теперь надо поправить файл `` /etc/xtacacsd-conf'' и настроить его для ваших задач.

Note

Замечание: Если используется затенение паролей (подробности см. в разделе Пароли в Linux & формат файла Shadow главы 6), Вы будете иметь некоторые проблемы с этим пакетом. К сожалению, PAM (Pluggable Authentication Module), используемые в Red Hat для аутенфикации юзверей, не поддерживаются этим пакетом. Один способ обхода проблемы в том, чтобы хранить отдельный файл ``passwd'' в каталоге ``/usr/local/xtacacs/etc/ '', который соответствует тому, который лежит в /etc, но не затенен. Конечно, такое решение дает неплохую дыру в защите, так что проследите, чтобы второй файл паролей мог читать только root:


chmod a-wr,u+r /usr/local/xtacacs/etc/passwd

Если Вы используете затенение, Вам придется указать в файле ``/etc/xtacacsd-conf'' расположение незатененного файла паролей (конечно, если используется описанный выше метод).

Дальше надо настроить Ваш access server(s) для входов с желательных устройств (например, dial-up модемов) с аутенфикацией по TACACS. Пример:


mail:/tftpboot# telnet xyzrouter

Escape character is '^]'.
User Access Verification
Password: ****
xyzrouter> enable
 
Password: **** 
xyzrouter# config terminal
Enter configuration commands, one per line. End with CNTL/Z.

xyzrouter(config)# tacacs-server attempts 3
 
xyzrouter(config)# tacacs-server authenticate connections

xyzrouter(config)# tacacs-server extended
 
xyzrouter(config)# tacacs-server host 123.12.41.41

xyzrouter(config)# tacacs-server notify connections

xyzrouter(config)# tacacs-server notify enable
 
xyzrouter(config)# tacacs-server notify logouts
 
xyzrouter(config)# tacacs-server notify slip
 
xyzrouter(config)# line 2 10

xyzrouter(config-line)# login tacacs

xyzrouter(config-line)# exit
xyzrouter(config)# exit
 xyzrouter# write

Building configuration...
[OK]  
xyzrouter# exit

Connection closed by foreign host.

Все сообщения о регистрации по TACACS будут сохранены в ``/var/log/messages''.


Эта статья еще не оценивалась
Вы сможете оценить статью и оставить комментарий, если войдете или зарегистрируетесь.
Только зарегистрированные пользователи могут оценивать и комментировать статьи.

Комментарии отсутствуют