The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
FreeBSD PAM RADIUS/TACACS+, !*! GByte, 21-Фев-11, 12:36  [смотреть все]
Приветствую!
Помогите настроить PAM на аутентификацию пользователей через TACACS+ или RADIUS.


Возмникла необходимость аутентифицировать пользователей на сервере Cisco ACS 5.

Необходимая конфигурация ACS сделана.

Настраиваю PAM.

В первую очередь хотелось использовать TACACS+.
Сделана была следующая настройка:
[/etc/pam.d]# cat tacacs
#%PAM-1.0
auth        sufficient    /usr/lib/pam_tacplus.so try_first_pass template_user=tacuser
session        sufficient    /usr/lib/pam_tacplus.so service=shell protocol=ssh
account        sufficient    /usr/lib/pam_tacplus.so service=shell protocol=ssh


[/etc/pam.d]# grep -v '#' sshd
auth        include        tacacs
account        include        tacacs
session        include        tacacs

auth        sufficient    pam_opie.so        no_warn no_fake_prompts
auth        requisite    pam_opieaccess.so    no_warn allow_local
auth        required    pam_unix.so        try_first_pass

account        required    pam_nologin.so
account        required    pam_login_access.so
account        required    pam_unix.so

session        required    pam_permit.so
password    required    pam_unix.so        try_first_pass

При таких настройках получаю проблемы на уровне Cisco ACS 5: "24408 User authentication against Active Directory failed since user has entered the wrong password".
При этом пароль _точно_ ввожу правильный, подозреваю какие-то проблемы в кодировании на уровне pam_tacplus<=>CiscoACS5.


Так как не получилось использовать pam_tacplus решено использовать pam_radius.
Но и тут возникли проблемы.

Настройки PAM:
[/etc/pam.d]# grep -v '#' sshd
auth        sufficient    pam_opie.so        no_warn no_fake_prompts
auth        requisite    pam_opieaccess.so    no_warn allow_local
auth        sufficient    pam_radius.so        no_warn try_first_pass template_user=raduser
auth        required    pam_unix.so        try_first_pass


account        required    pam_nologin.so
account        sufficient    pam_radius.so        template_user=raduser
account        required    pam_login_access.so
account        required    pam_unix.so

session        required    pam_permit.so
password    required    pam_unix.so        try_first_pass

При аутентификации получаю закрытие ssh-сессии, а в /var/log/auth.log следующее:
Feb 21 11:19:44 webserv sshd[99280]: Invalid user user1 from 172.1.1.100
Feb 21 11:19:48 webserv sshd[99282]: in openpam_dispatch(): pam_radius.so: no pam_sm_acct_mgmt()
Feb 21 11:19:48 webserv sshd[99280]: fatal: Internal error: PAM auth succeeded when it should have failed

Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру