使用 TACACS 进行 Internet 用户认
在我工作的地方,为了拨接的 Internet 用户TACACS 认 (连接到我们的数据机埠,轮流接到几部 Cisco 25
0x 存取伺服器),我们使用 Vikas 版的 “xtacacsd”。
在编译及安装好 Vikas 套件後 (最新的版本在 ftp://ftp.navya.com/pub/vikas; 我不相信该套件有
RPM 格式),您应该加入下面几行到``/etc/inetd.conf'' 这个档案,如此一来无论何时收到该TACACS请求
时该 daemon 会由 inetd daemon 载入。
# TACACS is a user authentication protocol used for Cisco Router products.
tacacs dgram udp wait root /etc/xtacacsd xtacacsd -c /etc/xtacacsd-conf
下一步您应该编辑 ``/etc/xtacacsd-conf'' 档并依您的系统需要订它 (然而您可以使用原来预设的设定).
注意: 如果您使用 shadow password (查看 Linux 密码及 Shadow 档案格式 有关细节), 您用这套件
会有问题。不幸地,Red Hat用来作用户认的 PAM (Pluggable Authentication Module)并不支援这个
套件。我用来解决这问题的方法是在 ``/usr/local/xtacacs/etc/'' 下保留一个另外的``passwd''档,
它和位於 /etc/ 下的相符合但并未 shadow。 这麽做有一点麻烦,而且如果您选择这麽做,必须确定其
他的密码档已经设定成只有 root 才能读取 :
chmod a-wr,u+r /usr/local/xtacacs/etc/passwd
如果您真的需要 shadow, 几乎可以确定您必需编辑 ``/etc/xtacacsd-conf'' 档,并且要指定未 shadow
密码档的位置 (假设您使用上面我提的方法的话).
下一步是组态您的存取伺服器,以认由 TACACS 登入的设备 (像是拨接数据机)。这里是如何完成的示:
mail:/tftpboot# telnet xyzrouter
Escape character is '^]'.
User Access Verification
Password: ****
xyzrouter> enable
Password: ****
xyzrouter# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
xyzrouter(config)# tacacs-server attempts 3
xyzrouter(config)# tacacs-server authenticate connections
xyzrouter(config)# tacacs-server extended
xyzrouter(config)# tacacs-server host 123.12.41.41
xyzrouter(config)# tacacs-server notify connections
xyzrouter(config)# tacacs-server notify enable
xyzrouter(config)# tacacs-server notify logouts
xyzrouter(config)# tacacs-server notify slip
xyzrouter(config)# line 2 10
xyzrouter(config-line)# login tacacs
xyzrouter(config-line)# exit
xyzrouter(config)# exit
xyzrouter# write
Building configuration...
[OK]
xyzrouter# exit
Connection closed by foreign host.
所有 TACACS 运作的 log 讯息将会记录在 ``/var/log/messages'' 档中 |