web-dev-qa-db-ja.com

Tacacs +とPAMの2要素Google認証?

キャンパスネットワーク用のtacacs +サーバーに取り組んでいますが、Googleの2要素認証を実行しているPAMと通信するようにtacacs +サーバーを設定するにはどうすればよいか考えていました。私はかなりのグーグルを行い、いくつかの有用な情報を見つけましたが、明確な「ロードマップ」を見つけられず、多くのステップはせいぜいあいまいに見えます。現在、Ubuntu tacacs +テストベッドが実行されており、スイッチやルーターはまだ構成されていません。

誰かがこのようなことをしましたか?私はここでredhatの電子メールチェーンで比較的良いガイドを見つけました: https://www.redhat.com/archives/pam-list/2014-March/msg00008.html

次にどこに行くのか、このシステムがどのように機能するのか正確にはわかりません。私が従うことができる例や誰かが持っているいくつかの提案はありますか?今、試行錯誤しているような気がします。

編集:具体的には、今、私は/etc/pam.d/(tac_plus?それが何と呼ばれていても)にあるPAM構成ファイルの例を見つめていますが、そこに何を入れる必要があるのか​​正確にはわかりません。それはGoogle認証システムのものですか、それともtacacs +のものですか?私の例は以下に投稿されたコードのように見えますが、ここに何が入るのかわかりません:

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass 
use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in 
crond quiet use_uid
session     required      pam_unix.so
session     required      pam_mkhomedir.so skel=/etc/skel/ umask=0077
session     optional      pam_ldap.so

非常に単純に見えるtacacsの設定もありますが、他のすべてのように、私はこれまで見たことがないので、よくわかりません。次のようになります。

# admin group
group = admins {
        default service = permit
        login = PAM
        service = exec {
             priv-lvl = 15
        }
}
1
Disco King

これを2つに分割すると、pamディレクトリはサービスの認証用になります:tac_plus。 tac_plus設定ファイルはサービス用です:tacacs +

[〜#〜] pam [〜#〜]

Pamはプラグイン可能な認証です。ここで、google authを使用してユーザー/パスワード認証を構成します。googleauthはRADIUSやSSHDなどのサービスで非常に一般的に使用されるため、そのためのパブリックコードをいくつか盗みます。

#1グーグルの結果は Supertech Guy 私が実際に行って、彼のセキュリティ慣行のいくつかについて叱責を書いた ここ しかし本質的に:

これをpam.d/tac_plusの認証セクションに追加します

auth requisite pam_google_authenticator.so forward_pass
auth required pam_unix.so use_first_pass

Google-authツールを使用する代わりに、LDAPからユーザーにフィードし、BASE32キーを事前生成する場合は、google認証キーの場所を変更できます。 google_auth pamモジュールの詳細

TACACS ++

tac_plusはサービスです。このサービスで認証すると、radiusdやsshdと同じように、tac_plusのpamモジュールが使用されます。

それを構成する方法についてはたくさんのガイドがあります http://www.shrubbery.net/tac_plus/ たとえば、残念ながら私はtac_plusを個人的に構成していません。

[〜#〜]読み取り[〜#〜]

Google auth forward_passで認証する場合、パスワードはpassword&googleauthです。

パスワード:MyPassword

グーグルtotp:222555

入力した結果のパスワード:MyPassword222555

1
Jacob Evans