temos um ambiente de tacacs em execução para login centralizado em nossos roteadores, firewalls, etc. e até mesmo a maioria das nossas caixas de linux para ssh
o que gostaríamos de fazer é permitir que os usuários se autentiquem no SSH via autenticação de chave pública em vez de digitarem a senha, mas ainda autorizem os tacacs a verificar se o login é realmente permitido e o acesso deve ser concedido, mas se o usuário está desabilitado em tacacs ele deve ser rejeitado
isso é possível e como seria alcançado - estamos usando o RedHat / Centos com o pam_tacplus
questão relacionada secundária: como você permitiria que contas específicas do sistema ignorassem a autenticação do tacacs para que scripts de servidor para servidor pudessem ser executados via SSH e autenticação de chave pública sem a necessidade de existir em tacacs também
Tags ssh ssh-keys centos public-key tacacs+