Quebrando isso em duas partes, o diretório pam é para sua autenticação para serviços: tac_plus. O arquivo de configuração tac_plus é para o serviço: tacacs +
PAM
Pam é sua autenticação conectável, é aqui que você vai configurar a autenticação de usuário / senha com o google auth, já que o google auth é muito comumente usado para serviços como RADIUSD e SSHD, então roubarei algum código público para isso. / p>
# 1 o resultado do google é Guy supertech a quem eu realmente fui escrever uma repreensão em algumas de suas práticas de segurança Aqui mas essencialmente:
Adicione isto à sua seção auth de pam.d / tac_plus
auth requisite pam_google_authenticator.so forward_pass
auth required pam_unix.so use_first_pass
Você pode modificar o local das chaves de autenticação do google se quiser alimentar os usuários do ldap e pré-renderizar suas chaves BASE32 em vez de usar a ferramenta google-auth. Saiba mais sobre o módulo de pam do google_auth
TACACS ++
tac_plus é um serviço, quando você autentica com este serviço, ele usará o módulo pam para tac_plus, o mesmo que radiusd e sshd.
Há uma tonelada de guias sobre como configurar isso, link por exemplo, infelizmente eu não configurei o tac_plus pessoalmente.
READ
Quando você autentica com o google auth forward_pass
, sua senha é senha & googleauth
senha: MyPassword
google totp: 222555
senha resultante que você insere: MyPassword222555