キャンパスネットワーク用のtacacs +サーバーに取り組んでいますが、Googleの2要素認証を実行しているPAMと通信するようにtacacs +サーバーを設定するにはどうすればよいか考えていました。私はかなりのグーグルを行い、いくつかの有用な情報を見つけましたが、明確な「ロードマップ」を見つけられず、多くのステップはせいぜいあいまいに見えます。現在、Ubuntu tacacs +テストベッドが実行されており、スイッチやルーターはまだ構成されていません。
誰かがこのようなことをしましたか?私はここでredhatの電子メールチェーンで比較的良いガイドを見つけました: https://www.redhat.com/archives/pam-list/2014-March/msg00008.html
次にどこに行くのか、このシステムがどのように機能するのか正確にはわかりません。私が従うことができる例や誰かが持っているいくつかの提案はありますか?今、試行錯誤しているような気がします。
編集:具体的には、今、私は/etc/pam.d/(tac_plus?それが何と呼ばれていても)にあるPAM構成ファイルの例を見つめていますが、そこに何を入れる必要があるのか正確にはわかりません。それはGoogle認証システムのものですか、それともtacacs +のものですか?私の例は以下に投稿されたコードのように見えますが、ここに何が入るのかわかりません:
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3
password sufficient pam_unix.so md5 shadow nullok try_first_pass
use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in
crond quiet use_uid
session required pam_unix.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
session optional pam_ldap.so
非常に単純に見えるtacacsの設定もありますが、他のすべてのように、私はこれまで見たことがないので、よくわかりません。次のようになります。
# admin group
group = admins {
default service = permit
login = PAM
service = exec {
priv-lvl = 15
}
}
これを2つに分割すると、pamディレクトリはサービスの認証用になります:tac_plus。 tac_plus設定ファイルはサービス用です:tacacs +
[〜#〜] pam [〜#〜]
Pamはプラグイン可能な認証です。ここで、google authを使用してユーザー/パスワード認証を構成します。googleauthはRADIUSやSSHDなどのサービスで非常に一般的に使用されるため、そのためのパブリックコードをいくつか盗みます。
#1グーグルの結果は Supertech Guy 私が実際に行って、彼のセキュリティ慣行のいくつかについて叱責を書いた ここ しかし本質的に:
これをpam.d/tac_plusの認証セクションに追加します
auth requisite pam_google_authenticator.so forward_pass
auth required pam_unix.so use_first_pass
Google-authツールを使用する代わりに、LDAPからユーザーにフィードし、BASE32キーを事前生成する場合は、google認証キーの場所を変更できます。 google_auth pamモジュールの詳細
TACACS ++
tac_plusはサービスです。このサービスで認証すると、radiusdやsshdと同じように、tac_plusのpamモジュールが使用されます。
それを構成する方法についてはたくさんのガイドがあります http://www.shrubbery.net/tac_plus/ たとえば、残念ながら私はtac_plusを個人的に構成していません。
[〜#〜]読み取り[〜#〜]
Google auth forward_pass
で認証する場合、パスワードはpassword&googleauthです。
パスワード:MyPassword
グーグルtotp:222555
入力した結果のパスワード:MyPassword222555