Tacacs + com autenticação do Google de dois fatores do PAM?

Navegue suas respostas
1

Estou trabalhando em um servidor tacacs + para minha rede de campus, e fiquei me perguntando como eu poderia configurar um servidor tacacs + para se comunicar com o PAM executando a autenticação de dois fatores do google. Eu fiz um pouco de googling, encontrei algumas informações úteis, mas não encontrei um "roteiro" claro e muitos passos parecem confusos na melhor das hipóteses. Eu tenho um teste do Ubuntu tacacs + rodando agora mesmo sem nenhum switch ou roteador configurado.

Alguém já fez algo assim? Eu encontrei um guia relativamente bom em uma cadeia de email redhat aqui: link

Eu não sei exatamente para onde ir em seguida ou como esse sistema funciona. Há algum exemplo que eu possa seguir ou algumas sugestões que alguém tenha? Eu me sinto um pouco como se estivesse no modo de tentativa e erro agora.

EDIT: Especificamente, neste momento, estou olhando para exemplos de arquivos de configuração do PAM em /etc/pam.d/(tac_plus ?, seja o que for chamado) e não sei exatamente o que precisa ir lá. Esse material do autenticador do Google ou tacacs + coisas? Meu exemplo parece com o código postado abaixo, mas não tenho certeza do que acontece aqui: 

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass 
use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in 
crond quiet use_uid
session     required      pam_unix.so
session     required      pam_mkhomedir.so skel=/etc/skel/ umask=0077
session     optional      pam_ldap.so

Há também uma configuração para tacacs que parece muito direta, mas como tudo mais, eu nunca vi isso antes, então não tenho muita certeza. Parece assim: 

# admin group
group = admins {
        default service = permit
        login = PAM
        service = exec {
             priv-lvl = 15
        }
}
    
por Disco King 30.03.2017 / 21:35

1 resposta

1

Quebrando isso em duas partes, o diretório pam é para sua autenticação para serviços: tac_plus. O arquivo de configuração tac_plus é para o serviço: tacacs +

PAM

Pam é sua autenticação conectável, é aqui que você vai configurar a autenticação de usuário / senha com o google auth, já que o google auth é muito comumente usado para serviços como RADIUSD e SSHD, então roubarei algum código público para isso. / p>

# 1 o resultado do google é Guy supertech a quem eu realmente fui escrever uma repreensão em algumas de suas práticas de segurança Aqui mas essencialmente:

Adicione isto à sua seção auth de pam.d / tac_plus 

auth requisite pam_google_authenticator.so forward_pass
auth required pam_unix.so use_first_pass

Você pode modificar o local das chaves de autenticação do google se quiser alimentar os usuários do ldap e pré-renderizar suas chaves BASE32 em vez de usar a ferramenta google-auth. Saiba mais sobre o módulo de pam do google_auth

TACACS ++

tac_plus é um serviço, quando você autentica com este serviço, ele usará o módulo pam para tac_plus, o mesmo que radiusd e sshd.

Há uma tonelada de guias sobre como configurar isso, link por exemplo, infelizmente eu não configurei o tac_plus pessoalmente.

READ

Quando você autentica com o google auth forward_pass , sua senha é senha & googleauth

senha: MyPassword

google totp: 222555

senha resultante que você insere: MyPassword222555

    
por 31.03.2017 / 01:01

Tags

Exchange - efetuando login com endereço de e-mail diferente do UPN postfix não está funcionando corretamente após a atualização do sistema (nenhum mecanismo de autenticação SASL)