Linux网管123---第7章.自订的组态及
管理内容-3.使用TACACS
5 S0 P; A3 x* ]2006-06-01
* A( k" i! n* u1 W! `) c
1 E3 C/ R' y+ l! A
2 _* h- p1 J5 Q# J
使用TACACS进行Internet用户认
$ V( n" L! s# {5 m; `
3 b! Q. J+ |- L, p; ]
在我工作的地方,为了拨接的Internet用户TACACS认(连接到我们的
数据机埠,轮流接到几部Cisco25
# w, k) W. v' ]0 ~4 C7 ]0 S
0x存取伺服器),我们使用Vikas版的“xtacacsd”。
' u0 ]) x: K( N+ S3 \5 K, C- {
在编译及安装好Vikas套件後(最新的版本在ftp://ftp.navya.com/pub/vikas;我不相信该套件有
& r: d. P/ h1 m5 f& E7 |+ b4 CRPM格式),您应该加入下面几行到``/etc/inetd.conf''这个档案,如此一来无论何时收到该TACACS请求
I& S; p, X- m7 F, Y2 a
时该daemon会由inetddaemon载入。
$ Q- Z" f( S* B4 v7 Q
#TACACSisauserauthenticationprotocolusedforCiscoRouterproducts.
. f8 j& x) b4 x9 {' v2 t% i
tacacsdgramudpwaitroot/etc/xtacacsdxtacacsd-c/etc/xtacacsd-conf
+ C* l, u! }( C1 m3 c; i: c: w7 [7 x$ }
$ v: j( O/ p+ _3 s4 p0 @. w! u* e5 _- B2 k9 C# ?
下一步您应该
编辑``/etc/xtacacsd-conf''档并依您的
系统需要订它(然而您可以使用原来预设的设定).
9 K; Y: C1 S' l. L i5 K0 K( g
7 X# K9 E- S) Q* ~" S8 Q注意:如果您使用shadowpassword(查看Linux密码及Shadow档案格式有关细节),您用这套件
9 P; Y/ n1 G# Z; i4 J( s3 b会有问题。不幸地,RedHat用来作用户认的PAM(PluggableAuthenticationModule)并不支援这个
5 X) j1 Q/ f* ?6 @$ S6 U
套件。我用来解决这问题的方法是在``/usr/local/xtacacs/etc/''下保留一个另外的``passwd''档,
1 E. x9 C! F' D1 \
它和位於/etc/下的相符合但并未shadow。这麽做有一点麻烦,而且如果您选择这麽做,必须确定其
M( z+ @5 J; Y
他的密码档已经设定成只有root才能读取:
0 ~3 Z9 x4 T" R- E L
/ j7 I6 N9 I4 a1 schmoda-wr,u+r/usr/local/xtacacs/etc/passwd
4 o4 J/ _8 M/ D0 g. J/ \
7 ^( u7 S3 G9 ?/ J: S# n' X0 ~; V2 c1 Z8 v" a+ v: }" ~1 P
如果您真的需要shadow,几乎可以确定您必需编辑``/etc/xtacacsd-conf''档,并且要指定未shadow
! z& v; o/ d2 X$ s3 D密码档的位置(假设您使用上面我提的方法的话).
6 _' ~& v! ~0 r: H) i
) v4 v; _/ v# l下一步是组态您的存取伺服器,以认由TACACS登入的设备(像是拨接数据机)。这里是如何完成的示:
$ h# {& s! A8 v. L
mail:/tftpboot#telnetxyzrouter
) c* K- V% F5 g& L2 k) A$ P
3 q4 G- c- U( c0 h1 o8 g, qEscapecharacteris'^]'.
0 y& m" o7 L" y9 I; j! O9 iUserAccessVerification
' a+ [/ V* }' v
Password:****
4 j8 i' H, C* b5 r/ q2 o2 ]3 Q
xyzrouter%26gt;enable
q1 {" m$ ~& n. ^& d" JPassword:****
, S8 u$ J, ?, b* K* r
xyzrouter#configterminal
( A) _7 {7 o0 R4 Z, b0 rEnterconfigurationcommands,oneperline.EndwithCNTL/Z.
3 J, M* ~* ]; k* J$ J+ w9 M9 ~xyzrouter(config)#tacacs-serverattempts3
9 V; r# k/ B6 y: t Hxyzrouter(config)#tacacs-serverauthenticateconnections
( B9 t' ~3 o# v' ^& vxyzrouter(config)#tacacs-serverextended
, ?, P( V1 K. p, w' j |
xyzrouter(config)#tacacs-serverhost123.12.41.41
2 @4 W$ v) |+ T. E* ]( @- Y+ B
xyzrouter(config)#tacacs-servernotifyconnections
. a- E! L4 m$ R9 T# g! Zxyzrouter(config)#tacacs-servernotifyenable
& V: m# P c e i9 `+ w. hxyzrouter(config)#tacacs-servernotifylogouts
$ z4 ^" C) |; M. a
xyzrouter(config)#tacacs-servernotifyslip
/ B2 c! w4 U9 D- Uxyzrouter(config)#line210
H' a. Y; B9 b( E3 z% ^6 G3 p4 B2 mxyzrouter(config-line)#logintacacs
3 n3 p( H" O5 x9 {9 w
xyzrouter(config-line)#exit
* y) C5 V! g% m. j* p1 A
xyzrouter(config)#exit
% f+ Y, r6 @& _& ~/ zxyzrouter#write
( I ^- H/ r5 q8 {; R
Buildingconfiguration...
# A1 R( w, }1 ]/ U
[OK]
# Y2 @3 \7 q$ p2 fxyzrouter#exit
8 ^ u- \: L1 {# W- z
% N8 i# N* m. s8 ~$ A- NConnectionclosedbyforeignhost.
- F, n, r- e. T5 u5 }# d/ V% e
* R( E: z0 v6 d1 j0 f. N
# u; A; Y% D7 M
c2 ]4 E( H' u% Q0 s, ?" J/ k所有TACACS运作的log讯息将会记录在``/var/log/messages''档中
