सक्रिय निर्देशिका प्रमाणीकरण के साथ लिनक्स पर टीएसीएसीएस +

इस विषय पर नेटवर्क के कई अलग-अलग मार्गदर्शक हैं, लेकिन लिनक्स पर सेवा को बढ़ाना और इसे 30-60 मिनट के लिए सक्रिय निर्देशिका के साथ जोड़ना संभव नहीं था। मैं विस्तृत टिप्पणियों के साथ समस्या को हल करने के लिए अपने तरीके का प्रस्ताव करता हूं।

हम सेवा को स्थापित करने के लिए आगे बढ़ते हैं। उपयोग किया गया OS CentOS है।

आवश्यक सेवा पैकेज स्थापित करें

# yum install gcc # yum install perl-LDAP # yum install bind-utils 

सभी ऑपरेशन "रूट" के तहत किए जाते हैं
(क्रमशः होम डायरेक्टरी / रूट)

टैक प्लस स्थापित करें

 # yum install wget # wget http://www.pro-bono-publico.de/projects/src/DEVEL.tar.bz2 # tar xvfj ./DEVEL.tar.bz2 # cd ./PROJECTS # ./configure # make # make install 

लेखांकन फ़ाइलों के लिए निर्देशिका जोड़ें

 # mkdir /var/log/tac_plus # mkdir /var/log/tac_plus/access # mkdir /var/log/tac_plus/acct # chmod 760 -R /var/log/tac_plus/ 

स्टार्टअप में टैक प्लस जोड़ें

 # cp /root/PROJECTS/tac_plus/extra/etc_init.d_tac_plus /etc/init.d/tac_plus # chmod 755 /etc/init.d/tac_plus # chkconfig --add tac_plus # chkconfig --level 2345 tac_plus on 

स्टार्टअप में समावेश की जाँच करें

 # chkconfig --list | grep tac_plus 

कॉन्फ़िगरेशन फ़ाइल संपादित करें

 # cp /root/PROJECTS/tac_plus/extra/tac_plus.cfg-ads /usr/local/etc/tac_plus.cfg # chmod 660 /usr/local/etc/tac_plus.cfg 

!!! प्रत्येक कॉन्फ़िगरेशन परिवर्तन के बाद, सेवा को पुनरारंभ किया जाना चाहिए (सेवा tac_plus पुनरारंभ)
एक कार्यशील कॉन्फ़िगरेशन फ़ाइल का उदाहरण (आपको टिप्पणी फ़ील्ड में सुधार करने के बाद tac_plus.cfg की सामग्री को बदलने की आवश्यकता है)

 #!/usr/local/sbin/tac_plus id = spawnd { listen = { port = 49 } #,   TACACS spawn = { instances min = 1 instances max = 10 } background = yes } id = tac_plus { #   access log = ">/var/log/tac_plus/access/%Y%m%d.log" accounting log = ">/var/log/tac_plus/acct/%Y%m%d.log" #     Active Directory mavis module = external { setenv LDAP_SERVER_TYPE = "microsoft" setenv LDAP_HOSTS = "ldaps://domain.name:636" #     DNS- (   nslookup).     IP  setenv LDAP_SCOPE = sub setenv LDAP_BASE = "dc=domain,dc=name" #    setenv LDAP_FILTER = "(&(objectclass=user)(sAMAccountName=%s))" setenv LDAP_USER = "aduser@domain.name" #      AD setenv LDAP_PASSWD = "passw0rd" #   #setenv AD_GROUP_PREFIX = tacacs #setenv REQUIRE_TACACS_GROUP_PREFIX = 1 #setenv USE_TLS = 0 setenv FLAG_USE_MEMBEROF = 1 exec = /usr/local/lib/mavis/mavis_tacplus_ldap.pl } login backend = mavis user backend = mavis #pap backend = mavis host = world { address = ::/0 welcome banner = "" #Crypt password generate by "openssl passwd -1 clear_text_password" enable 15 = crypt $1$eqIkg6p0$jzhK5. key = "TACACSPASSWORD" #    TACACS- } #      group = ADMIN { message = "[Admin privileges]" default service = permit service = shell { default command = permit default attribute = permit set priv-lvl = 15 } } #            group = VOIP { message = "[VoIP-admin privileges]" default service = permit service = shell { default command = permit default attribute = permit set priv-lvl = 15 cmd = interface { permit "Lo*" permit "Se*" deny .* } cmd = aaa { deny .* } cmd = username { deny .* } cmd = line { deny .* } cmd = delete { deny .* } #cmd = reload { deny .* } cmd = boot { deny .* } cmd = enable { deny .* } cmd = archive { deny .* } cmd = router { deny .* } cmd = ip { permit "address *" deny .* } cmd = tacacs-server { deny .* } cmd = radius-server { deny .* } cmd = privilege { deny .* } cmd = erase { deny .* } cmd = write { permit "memory" deny .* } cmd = format { deny .* } } } } 

हम कॉन्फ़िगरेशन की शुद्धता की जांच करते हैं (यदि सब कुछ ठीक है, तो कुछ भी आउटपुट नहीं होगा)

 # /usr/local/sbin/tac_plus -P /usr/local/etc/tac_plus.cfg 

AD में समूह बनाएं
सक्रिय निर्देशिका में, आपको 2 समूह बनाने की आवश्यकता है (हमारे कॉन्फ़िगरेशन के आधार पर): tacacsadmin और tacacsvoip।
Tac Plus, विन्यास में AD में समूह में निर्दिष्ट समूह के अनुपात के साथ उपसर्ग "tacacs" को काट देता है और शेष वर्णों को अपरकेस में परिवर्तित करता है।
इस प्रकार, tacacsadmin ADMIN से मेल खाती है, और tacacsvoip VOIP से मेल खाती है (आप विशेषताओं के साथ खेलकर इस व्यवहार को बदल सकते हैं: AD_GROUP_PREFIX और REQUIRE_TACOSS_GROUP_PREFIX)।
समूहों को एक कारण के लिए बड़े अक्षरों में विन्यास में दर्शाया गया है!
उपयोगकर्ताओं को बनाए गए समूहों में जोड़ें।

TACACS सेवा शुरू करना और रोकना

 # service tac_plus start # service tac_plus stop # service tac_plus restart 

सिस्को उपकरण पर एएए सेवा विन्यास

 tacacs server TACSRV1 !IP- tacacs- address ipv4 172.16.2.2 !    ,       key TACACSPASSWORD timeout 2 ! aaa new-model aaa group server tacacs+ TACSERVICE server name TACSRV1 aaa authentication login default group TACSERVICE local aaa authentication login CONSOLE local aaa authentication enable default group TACSERVICE enable aaa authorization config-commands aaa authorization exec default group TACSERVICE local aaa authorization exec CONSOLE local aaa authorization commands 15 default group TACSERVICE local aaa accounting commands 15 default start-stop group TACSERVICE ! line con 0 login authentication CONSOLE line vty 0 15 

डिबग तकनीक
1. LDAP मॉड्यूल के संचालन की जांच करना (त्रुटियों के बिना एक खाली स्ट्रिंग लौटना चाहिए)। पर्ल-एलडीएपी पैकेज स्थापित नहीं होने की स्थिति में त्रुटियां।

 # env LDAP_HOSTS="172.16.1.1" LDAP_SERVER_TYPE="microsoft" /usr/local/lib/mavis/mavis_tacplus_ldap.pl 2.   TACACS - LDAP.     RESULT - ACK.      ,     AD. <source lang="bash"> # /usr/local/bin/mavistest /usr/local/etc/tac_plus.cfg tac_plus TACPLUS <login> <password> 

3. सत्यापित करें कि सेवा tcp 49 पर चल रही है और सुन रही है

 # netstat -nlp | grep tac_plus 

4. सेवा कॉल देखने के लिए

 # tcpdump -nn port 49 

5. डिबग सेवा द्वारा संसाधित अनुरोध

 # /usr/local/sbin/tac_plus -d 4088 -fp /var/run/tac_plus.pid /usr/local/etc/tac_plus.cfg 

आपका ध्यान के लिए धन्यवाद!

जानकारी और समर्थन लिंक के स्रोत:
http://packetroute.wordpress.com/2012/12/12/tacacs-ad-centos-free/
http://www.pro-bono-publico.de/projects/howto-tac_plus-ads.html
http://habrahabr.ru/post/194750/