Linux网管123---第7章.自订的组态及
管理内容-3.使用TACACS
( ?$ r [- f7 u0 k& e
2006-06-01
0 g, H7 T$ \2 a2 J/ I# J& {. K& R; q) e3 K5 H
7 [6 ]3 L$ X' {) s1 Y, ~" Q. ]
使用TACACS进行Internet用户认
+ b! j: x8 g2 X6 Z0 g1 Y
! a" `/ ]) ]5 w' `; e. Y
在我工作的地方,为了拨接的Internet用户TACACS认(连接到我们的
数据机埠,轮流接到几部Cisco25
8 o' S5 y7 c$ j0 X" F
0x存取伺服器),我们使用Vikas版的“xtacacsd”。
. M% j6 ]/ z6 ?, ?6 ^3 N" T4 }2 F0 p在编译及安装好Vikas套件後(最新的版本在ftp://ftp.navya.com/pub/vikas;我不相信该套件有
; n; E8 ^ g# i6 i) d0 ^RPM格式),您应该加入下面几行到``/etc/inetd.conf''这个档案,如此一来无论何时收到该TACACS请求
" r0 h& i% B3 u2 h% z+ ^. X
时该daemon会由inetddaemon载入。
+ `, u5 U- `' B& [#TACACSisauserauthenticationprotocolusedforCiscoRouterproducts.
3 |' z8 |1 w$ R. V+ c* dtacacsdgramudpwaitroot/etc/xtacacsdxtacacsd-c/etc/xtacacsd-conf
& B/ L% V! x5 p% n8 \& |
$ Z$ w& j/ G! P. p+ k S
! y5 {/ v3 N+ Z: i, W) t7 J
- D/ D* C; h+ L/ C# U4 ^下一步您应该
编辑``/etc/xtacacsd-conf''档并依您的
系统需要订它(然而您可以使用原来预设的设定).
: Q S; q& |( M) @2 [2 o" @
5 h8 v$ D( r! ^* G( Z( Z注意:如果您使用shadowpassword(查看Linux密码及Shadow档案格式有关细节),您用这套件
8 z1 f* N' J8 C
会有问题。不幸地,RedHat用来作用户认的PAM(PluggableAuthenticationModule)并不支援这个
4 A$ t3 B( W! p j3 a, |
套件。我用来解决这问题的方法是在``/usr/local/xtacacs/etc/''下保留一个另外的``passwd''档,
9 J$ _; ?* \; X5 \/ w
它和位於/etc/下的相符合但并未shadow。这麽做有一点麻烦,而且如果您选择这麽做,必须确定其
: ?: J7 E; q" o( T/ U他的密码档已经设定成只有root才能读取:
. K! V) A0 a: G4 f! f, F: l3 L6 j
s @: @ ]/ j3 j
chmoda-wr,u+r/usr/local/xtacacs/etc/passwd
/ ~3 b E: k' d/ C& f- J8 y8 J- s7 y: g. i0 E' {1 c6 y
1 c7 B9 i- ^5 `" V
如果您真的需要shadow,几乎可以确定您必需编辑``/etc/xtacacsd-conf''档,并且要指定未shadow
$ ~7 M6 w- ~3 ]密码档的位置(假设您使用上面我提的方法的话).
8 I8 w* r g# b# U4 ?, j2 C1 N! `& W7 [# \
下一步是组态您的存取伺服器,以认由TACACS登入的设备(像是拨接数据机)。这里是如何完成的示:
8 y V& o7 W3 a4 ?8 ~
mail:/tftpboot#telnetxyzrouter
2 M5 Y# h- N' z% h; j4 m
! h) ^* j' k! E4 J+ ~2 H& ^Escapecharacteris'^]'.
/ ]8 A0 _& a0 O d0 YUserAccessVerification
( Z$ ~' Z& F y+ b8 K8 @
Password:****
- B2 f' d+ J3 U
xyzrouter%26gt;enable
7 `+ G. P4 y1 |2 j) c* KPassword:****
3 r7 v. ]5 q" r$ k1 @
xyzrouter#configterminal
e/ j" [% C4 |( w
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
9 E8 V7 v5 u: f0 x0 Z9 C
xyzrouter(config)#tacacs-serverattempts3
- _! g* i8 K" X T$ T6 x/ [
xyzrouter(config)#tacacs-serverauthenticateconnections
3 S: M3 }0 o( S2 r
xyzrouter(config)#tacacs-serverextended
# ] ^7 o# e1 b: s: q* ^* U
xyzrouter(config)#tacacs-serverhost123.12.41.41
. T+ h0 d* n( _: r+ t1 J; |- Q
xyzrouter(config)#tacacs-servernotifyconnections
( X b7 }4 f: e# t6 I6 Qxyzrouter(config)#tacacs-servernotifyenable
( \/ w$ z" k1 I3 i' Cxyzrouter(config)#tacacs-servernotifylogouts
, D: {* G8 v! g1 g- H% uxyzrouter(config)#tacacs-servernotifyslip
' D# J1 d, _. G# }% D
xyzrouter(config)#line210
8 m" _6 k9 k0 ?! {xyzrouter(config-line)#logintacacs
) j/ ^+ E6 z2 p, F, z+ b! M& axyzrouter(config-line)#exit
+ V! P$ Y! i/ O# O6 l
xyzrouter(config)#exit
: u7 g# ]) Q/ {( {* a; Kxyzrouter#write
4 W& N; w( u2 ], q
Buildingconfiguration...
6 W2 S8 c$ H' g& H& B$ q- k[OK]
4 e3 A& a+ }. M4 r6 u2 D ^( h
xyzrouter#exit
7 N' `; _ a" X0 y; E# h5 c# L
0 D+ j7 I; B! i8 x" O7 GConnectionclosedbyforeignhost.
4 l$ b9 M. r' K
6 u. S: l4 {8 Q0 V+ Y+ T6 W8 t8 P: e2 k
: t3 C9 c+ P# T/ i7 {
所有TACACS运作的log讯息将会记录在``/var/log/messages''档中
