使用TACACS進行Inte .net 用戶認 在我工作的地方,為了撥接的Internet用戶TACACS認(連接到我們的數據機埠,輪流接到幾部Cisco25 0x存取伺服器),我們使用Vikas版的“xtacacsd”。 在編譯及安裝好Vikas套件後(最新的版本在 ftp://ftp.navya.com/pub/vikas ;我
使用 TACACS 進行 Inte
.net 用戶認
在我工作的地方,為了撥接的 Internet 用戶TACACS 認 (連接到我們的數據機埠,輪流接到幾部 Cisco 25
0x 存取伺服器),我們使用 Vikas 版的 “xtacacsd”。
在編譯及安裝好 Vikas 套件後 (最新的版本在 ftp://ftp.navya.com/pub/vikas; 我不相信該套件有
RPM 格式),您應該加入下面幾行到``/etc/ine
td.conf' 這個檔案,如此一來無論何時收到該TACACS請求
時該 daemon 會由 inetd daemon 載入。
# TACACS is a user authentication protocol used for Cisco Router products.
tacacs dgram udp wait root /etc/xtacacsd xtacacsd -c /etc/xtacacsd-conf
下一步您應該編輯 ``/etc/xtacacsd-conf' 檔並依您的系統需要訂它 (然而您可以使用原來預設的設定).
注意: 如果您使用 shadow password (查看
Linux 密碼及 Shadow 檔案格式 有關細節), 您用這套件
會有問題。不幸地,Red Hat用來作用戶認的 PAM (Pluggable Authentication Module)並不支援這個
套件。我用來解決這問題的方法是在 ``/usr/local/xtacacs/etc/' 下保留一個另外的``passwd'檔,
它和位於 /etc/ 下的相符合但並未 shadow。 這麽做有一點麻煩,而且如果您選擇這麽做,必須確定其
他的密碼檔已經設定成只有 root 才能讀取 :
chmod a-wr,u+r /usr/local/xtacacs/etc/passwd
如果您真的需要 shadow, 幾乎可以確定您必需編輯 ``/etc/xtacacsd-conf' 檔,並且要指定未 shadow
密碼檔的位置 (假設您使用上面我提的方法的話).
下一步是組態您的存取伺服器,以認由 TACACS 登入的設備 (像是撥接數據機)。這裡是如何完成的示:
mail:/tftpboot# telnet xyzrouter
Escape character is '^]'.
User A
clearcase/" target="_blank" >ccess Verification
Password: ****
xyzrouter> enable
Password: ****
xyzrouter# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
xyzrouter(config)# tacacs-server attempts 3
xyzrouter(config)# tacacs-server authenticate connections
xyzrouter(config)# tacacs-server extended
xyzrouter(config)# tacacs-server host 123.12.41.41
xyzrouter(config)# tacacs-server notify connections
xyzrouter(config)# tacacs-server notify enable
xyzrouter(config)# tacacs-server notify logouts
xyzrouter(config)# tacacs-server notify slip
xyzrouter(config)# line 2 10
xyzrouter(config-line)# login tacacs
xyzrouter(config-line)# exit
xyzrouter(config)# exit
xyzrouter# write
Building configuration...
[OK]
xyzrouter# exit
Connection closed by foreign host.
所有 TACACS 運作的 log 訊息將會記錄在 ``/var/log/messages' 檔中