Приветствую!
Помогите настроить PAM на аутентификацию пользователей через TACACS+ или RADIUS.
Возмникла необходимость аутентифицировать пользователей на сервере Cisco ACS 5.
Необходимая конфигурация ACS сделана.
Настраиваю PAM.
В первую очередь хотелось использовать TACACS+.
Сделана была следующая настройка:
[/etc/pam.d]# cat tacacs
#%PAM-1.0
auth sufficient /usr/lib/pam_tacplus.so try_first_pass template_user=tacuser
session sufficient /usr/lib/pam_tacplus.so service=shell protocol=ssh
account sufficient /usr/lib/pam_tacplus.so service=shell protocol=ssh
[/etc/pam.d]# grep -v '#' sshd
auth include tacacs
account include tacacs
session include tacacs
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth required pam_unix.so try_first_pass
account required pam_nologin.so
account required pam_login_access.so
account required pam_unix.so
session required pam_permit.so
password required pam_unix.so try_first_pass
При таких настройках получаю проблемы на уровне Cisco ACS 5: "24408 User authentication against Active Directory failed since user has entered the wrong password".
При этом пароль _точно_ ввожу правильный, подозреваю какие-то проблемы в кодировании на уровне pam_tacplus<=>CiscoACS5.
Так как не получилось использовать pam_tacplus решено использовать pam_radius.
Но и тут возникли проблемы.
Настройки PAM:
[/etc/pam.d]# grep -v '#' sshd
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth sufficient pam_radius.so no_warn try_first_pass template_user=raduser
auth required pam_unix.so try_first_pass
account required pam_nologin.so
account sufficient pam_radius.so template_user=raduser
account required pam_login_access.so
account required pam_unix.so
session required pam_permit.so
password required pam_unix.so try_first_pass
При аутентификации получаю закрытие ssh-сессии, а в /var/log/auth.log следующее:
Feb 21 11:19:44 webserv sshd[99280]: Invalid user user1 from 172.1.1.100
Feb 21 11:19:48 webserv sshd[99282]: in openpam_dispatch(): pam_radius.so: no pam_sm_acct_mgmt()
Feb 21 11:19:48 webserv sshd[99280]: fatal: Internal error: PAM auth succeeded when it should have failed