linux怎么验证tacacs认证,TACACS+认证服务器总结

最新推荐文章于 2024-06-04 09:53:17 发布
最新推荐文章于 2024-06-04 09:53:17 发布
阅读量911 收藏
点赞数
文章标签: linux怎么验证tacacs认证

TACACS的描述

网络设备使用直接密码验证,存在一些问题:

1.每个设备都有独立不同的两个密码(telnet/able),且为了一定的安全性,设置都比较复杂,在使用上带来很多麻烦。

2.目前工程师一般都是把大量复杂密码直接记录在自用的机器上,安全性较差,容易造成误操作和泄漏。

3.由于内网采用伪地址NAT方式出网,所以在登陆设备做操作时无法区分操作人

4.没有命令授权和记帐的机制,在故障派排查时缺乏必足够的依据。

鉴于以上问题,故测试了使用TACACS+进行网络设备帐户管理的方案,以期解决部分问题。

TACACS+是结合CISCO

AAA

module的帐户管理方式,他包含了认证(authentication),授权(authorization),记帐(accounting)功能,具有以下特点:

密码不再以设备区分而是以账号(用户名)区分,即每个网管人员有自己的用户名密码,容易记忆和适用

用户登陆网络设备时需要到TACACS+

SERVER进行认证,执行命令时要到TACACS+

SERVER进行授权同时进行记帐。使用户的所有操作都有据可查,便于故障得处理。

密码可以设置有效期,用户定期必须更改自己的密码,否则密码过期后将被冻结。可以促使用户勤改密码,保证密码的安全性。

对用户可以使用分级管理的方法,限制用户执行操作。

系统+软件

系统:Red

Hat Linux release 7.3

软件:tac_plus.F4.0.4.alpha.tar

TACACS+安装、编译

1

.编辑文件 Makefile,把默认的关于SUNOS的参数注释掉,改为LINUX环境下的参数。

#

For LINUX

OS=-DLINUX

2 .make

tac_plus

3 .make

install

4

.拷贝必要的文件到相应目录:

//把配置文件包放到/etc下,修改里面的配置文件。

/etc/tacacs

changepass core leaseline start.sh tac_core.sh tac_core_test.sh tac_lease.sh tac_plus.cfg

5.为方便使用,编写两个脚本分别启动三个TACACS+进程。

文件tac_core: /usr/local/bin/tac_plus

-

C /etc/tacacs/core/core.cfg -p 60000

文件tac_lease:/usr/local/bin/tac_plus -C

/etc/tacacs/leaseline/lease.cfg -p 60001

6. 修改配置文件,调整相应权限。

6../tac_core.sh 和 ./tac_lease.sh 启动进程。Ok拉!

建立加密帐号

1. /usr/sbin/useradd -d /home/getpass -m -s

/usr/local/sbin/generate_passwd getpass

2. /usr/sbin/passwd getpass

以上增加一个用户名为getpass 密码为a0z1ppmm 的用户.

3. 任何用户可以用getpass身份登陆到该机器上,输入想要加密的明文密码,然后获得加密后的密文密码。

/etc/passwd

changepass:x:506:506::/etc/tacacs/changepass:/etc/tacacs/start.sh

getpass:x:507:507::/home/getpass:/usr/local/bin/generate_passwd

4.也加一个changepass的用户

5.修改/etc/sudoers

[root@localhost etc]# more sudoers

# sudoers file.

#

# This file MUST be edited with the 'visudo' command as

root.

#

# See the sudoers man page for the details on how to write a

sudoers file.

#

# Host alias specification

# User alias specification

# Cmnd alias specification

# Defaults specification

# User privilege specification

root ALL=(ALL)

ALL

changepass ALL=(ALL)

ALL//加上这个!!

# Uncomment to allow people in group wheel to run all

commands

#

%wheel ALL=(ALL) ALL

# Same thing without a password

#

%wheel ALL=(ALL) NOPASSWD:

ALL

# Samples

#

%users ALL=/sbin/mount

/cdrom,/sbin/umount /cdrom

#

%users localhost=/sbin/shutdown

-h now

几个重要文件:

1.ls /usr/local/bin/

generate_passwd tac_plus

* generate_passwd 用于生成密文密码

2.ls /var/log/acct/

core.log leaseline.log //日志信息

3. vi /etc/passwd

getpass:x:501:501::/home/getpass:/usr/local/bin/generate_passwd

changepass:x:502:0::/etc/tacacs/changepass:/etc/tacacs/start.sh

4./etc/tacacs/changepass/changepass.sh //修改密码

采用SSH登录服务器,用户名changepass。定期更改密码。

5.网络设备aaa配置:

aaa new-model

aaa authentication login default group tacacs+ line

aaa authentication enable default enable

aaa authorization exec default group tacacs+ none

aaa authorization commands 0 default group tacacs+ none

aaa authorization commands 1 default group tacacs+ none

aaa authorization commands 15 default group tacacs+ none

aaa accounting exec default start-stop group tacacs+

aaa accounting commands 0 default start-stop group tacacs+

aaa accounting commands 1 default start-stop group tacacs+

aaa accounting commands 15 default start-stop group tacacs+

aaa accounting network default start-stop group tacacs+

aaa accounting connection default start-stop group tacacs+

aaa accounting system default start-stop group tacacs+

line con 0

authorization commands 0 console

authorization commands 1 console

authorization commands 7 console

authorization commands 15 console

authorization exec console

login authentication console

tacacs-server host 1.1.1.1 port 60000

tacacs-server key helala

倩倩爸爸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tacacs+ client/server library-开源
07-01
1. **认证(Authentication)**:TACACS+协议提供了一种安全的方式,用于验证用户身份。它支持多种认证机制,如用户名/密码、口令、以及更复杂的身份验证方法,如智能卡或证书。 2. **授权(Authorization)**:在...
ACS4.1,网路设备认证服务器
04-17
1. **多协议支持**:ACS4.1能够支持多种网络认证协议,包括RADIUS(远程认证拨入用户服务)、TACACS+(终端访问控制器访问控制系统)、 Diameter等,这些协议广泛应用于无线接入点、路由器、交换机和VoIP电话等设备...
推荐开源项目:TacacsGUI - 网络设备的强大访问控制服务器
最新发布
gitblog_00002的博客
06-04 447
推荐开源项目:TacacsGUI - 网络设备的强大访问控制服务器 项目地址:https://gitcode.com/tacacsgui/tacacsgui 项目介绍 TacacsGUI 是一个免费的网络设备访问控制服务器,提供了图形用户界面以管理和控制对这些设备的访问。该项目基于 Marc Huber 开发的 tacacs 服务守护程序,旨在实现认证(Authentication)、授权(Aut...
LINUXtacacs+服务器安装说明[归纳].pdf
10-11
LINUXtacacs+服务器安装说明[归纳].pdf
Linux-Tacacs+ 3A
小树苗
03-25 4677
TACACS是什么? 作为思科路由器访问控制的重要环节,TACACS+扮演了至关重要的角色。TACACS+的全称是:Terminal Access Controller Access-Control System Plus(终端访问控制器访问控制系统),它是一款思科专属网络协议,提供了对于路由器,网络服务器等网络设备的访问控制功能。另外,它也包含身份验证、 授权和统计功能。 软件下载官网...
Tacacs-双通道认证配置测试与总结
曹世宏的博客
12-27 3778
其他文章: Tacacs+协议原理 Tacacs+服务搭建与配置详解 Tacacs+各厂商交换机配置 Tacacs+协议交互报文抓包示例 Tacacs+双通道认证配置测试与总结 Tacacs+配置single-connection单连接模式证测试与总结 背景 一般在网络组网中,从可靠性来说,一般主要的网络设备都有两个管理地址: 一个是loopback的逻辑地址,主要用于OSPF,BGP等路由协议配置Router-id等,也可以用于远程管理设备。loopback在网络中主要是通过路由协议的传播..
linux怎么验证tacacs认证,使用TACACS(Cisco ACS)验证Linux sshd
weixin_35348182的博客
05-15 360
假设>我们正在从pam_tacplus library的v1.3.7编译pam_tacplus.so> Cisco ACS服务器为192.0.2.27,秘密tacacs密钥为d0nttr3 @ d0nm3安装说明>将Linux服务器的主机名/ IP地址添加到Cisco ACS并重新启动Cisco ACS服务>从SourceForge下载tacacs+ PAM module....
Linux建立高性能的拨号服务器.pdf
09-07
总结来说,使用Linux建立高性能拨号服务器是一种经济、可靠、灵活的选择。通过合理配置和管理,不仅可以提供稳定的远程接入服务,还能确保用户数据的安全,降低运营成本,同时具备良好的扩展性以适应未来的发展。...
Linux下计费服务器设计原理及实现
03-04
- 配置IP地址池`bohao`,并指定TACACS服务器的IP地址`202.199.248.6`。 - 配置TACACS服务器的相关参数,如超时时间和扩展功能。 **三、Xtacacsd进程的启动与管理** 1. **配置文件修改** 修改`Xtacacsd-conf`,...
TACACS+ Authorization
11-06
Within TACACS+, command and login authorizations are dependent on the use of privilege level assignments. Privilege level assignments for users and/or AXOS system interfaces (console, CLI, craft, ) the user is using, are used to determine what privilege level a user shell starts at. Privilege level assignments for commands determine the privilege level a command is executable at, provided that the user has the authorization credentials. That means, If a command is assigned to a privilege level higher then that of the user the command will not be accessible.
Tacacs+服务器安装,tac plus服务器安装
05-22
用于说明tac plus开源软件在linux服务上的安装与运行,配置文件设置等操作
tac_plus-rpm:TACACS +守护程序RPM
05-01
TACACS +守护程序包装 该存储库包含RPM打包源。 这还提供了systemd单位文件和示例配置文件供使用。 可以按以下方式启用tac_plus服务: systemctl enable tac_plus
tac_plus安装文件
07-25
tac_plus安装文件
tac_plus配置文件
07-25
tac_plus的参考配置文件
Linux服务器如何编写,如何在linux服务器上实现tacacs认证
weixin_32223625的博客
05-01 263
要想在Linux实现终端访问,你绕不开的是tacacs和radius认证,如何实现tacacs认证呢?其实并不难,今天小编就给大家带来教程。Linux服务器实现tacacs认证,通过PAM(可插拔的认证模块)实现。PAM的接口文件位于/etc/pam.d文件夹下,模块位于/lib/security文件夹中(有些服务器位于lib64/security/)。默认PAM安装包中不包括tacacs认证模块...
linux怎么验证tacacs认证,Tacacs+服务器部署
weixin_42446705的博客
05-15 295
1.安装开发环境#yum -y install gcc make flex bison libwrap0-dev2.下载安装tacacs+软件包#tar -zxvf tacacs+-F4.0.4.26.tar.gz#cd tacacs+-F4.0.4.26#less INSTALL#./configure#make && make install3.安装成功后,在目录/usr/lo...
linux部署tacacs
09-17
TACACS(Terminal Access Controller Access Control System)是一种用于网络设备认证,授权和账号管理的协议。在Linux上部署TACACS服务器可以提供强大的安全认证和授权功能。 要在Linux上部署TACACS服务器,您可以按照以下步骤进行操作: 1. 安装TACACS+服务器软件:在Linux上,可以选择安装一些开源的TACACS+服务器软件,如Tacacs+、FreeTacPlus等。您可以通过在终端中运行适当的命令进行安装,例如使用命令`sudo apt-get install tacacs+`来安装Tacacs+。 2. 配置TACACS+服务器:一旦安装完成,您需要编辑TACACS+服务器的配置文件。配置文件通常位于/etc/tacacs+/tac_plus.conf。在该文件中,您可以设置服务器认证方法,授权规则和账号信息等。您可以根据实际需求进行相应的修改和调整。 3. 添加用户和权限:在TACACS+服务器中,您可以创建用户并分配相应的权限。通过编辑配置文件,并在其中定义用户的用户名、密码和所需的权限,可以很容易地添加和管理用户。 4. 启动和测试TACACS+服务器:完成配置后,可以使用适当的命令启动TACACS+服务器。例如使用命令`sudo systemctl start tacacs+`来启动Tacacs+。您还可以使用一些TACACS+测试工具,如tacaclitest来测试服务器的功能和权限是否正常运行。 在成功部署TACACS+服务器后,您可以将其与其他网络设备集成起来。为了实现这些设备与TACACS+服务器认证和授权交互,您需要在设备上配置相应的TACACS+客户端设置,并将TACACS+服务器的IP地址和相关凭据设置为正确的值。 通过以上步骤,您可以在Linux上成功部署TACACS服务器,并为网络设备提供强大的认证和授权功能,提高系统的安全性和管理效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值