Linux 網管 123 --- 第7章. 自訂的組態及管理內容 -3.使用 TACACS
2024-07-26 00:30:35
供稿:網友
使用 TACACS 進行 Internet 用戶認
在我工作的地方,為了撥接的 Internet 用戶TACACS 認 (連接到我們的數據機埠,輪流接到幾部 Cisco 25
0x 存取伺服器),我們使用 Vikas 版的 “xtacacsd”。
在編譯及安裝好 Vikas 套件後 (最新的版本在 ftp://ftp.navya.com/pub/vikas; 我不相信該套件有
RPM 格式),您應該加入下面幾行到``/etc/inetd.conf'' 這個檔案,如此一來無論何時收到該TACACS請求
時該 daemon 會由 inetd daemon 載入。
# TACACS is a user authentication PRotocol used for Cisco Router products.
tacacs dgram udp wait root /etc/xtacacsd xtacacsd -c /etc/xtacacsd-conf
下一步您應該編輯 ``/etc/xtacacsd-conf'' 檔并依您的系統需要訂它 (然而您可以使用原來預設的設定).
注意: 如果您使用 shadow passWord (查看 linux 密碼及 Shadow 檔案格式 有關細節), 您用這套件
會有問題。不幸地,Red Hat用來作用戶認的 PAM (Pluggable Authentication Module)并不支援這個
套件。我用來解決這問題的方法是在 ``/usr/local/xtacacs/etc/'' 下保留一個另外的``passwd''檔,
它和位於 /etc/ 下的相符合但并未 shadow。 這麼做有一點麻煩,而且如果您選擇這麼做,必須確定其
他的密碼檔已經設定成只有 root 才能讀取 :
chmod a-wr,u+r /usr/local/xtacacs/etc/passwd
如果您真的需要 shadow, 幾乎可以確定您必需編輯 ``/etc/xtacacsd-conf'' 檔,并且要指定未 shadow
密碼檔的位置 (假設您使用上面我提的方法的話).
下一步是組態您的存取伺服器,以認由 TACACS 登入的設備 (像是撥接數據機)。這里是如何完成的示:
mail:/tftpboot# telnet xyzrouter
Escape character is '^]'.
User access Verification
Password: ****
xyzrouter> enable
Password: ****
xyzrouter# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
xyzrouter(config)# tacacs-server attempts 3
xyzrouter(config)# tacacs-server authenticate connections
xyzrouter(config)# tacacs-server extended
xyzrouter(config)# tacacs-server host 123.12.41.41
xyzrouter(config)# tacacs-server notify connections
xyzrouter(config)# tacacs-server notify enable
xyzrouter(config)# tacacs-server notify logouts
xyzrouter(config)# tacacs-server notify slip
xyzrouter(config)# line 2 10
xyzrouter(config-line)# login tacacs
xyzrouter(config-line)# exit
xyzrouter(config)# exit
xyzrouter# write
Building configuration...
[OK]
xyzrouter# exit
Connection closed by foreign host.
所有 TACACS 運作的 log 訊息將會記錄在 ``/var/log/messages'' 檔中
