我想在linux客户端ssh上配置使用TACACS +服务器 为此,我使用pam_tacplus.so将pam.d目录中的sshd配置为auth。
除非我在linux机器上声明了用户LOCALLY,否则我无法对其进行身份验证 这很正常,因为我必须在linux会话上有一个用户。
当'device'是linux机器时,我是否必须在本地声明用户? (我知道在网络设备上我不这样做。)
如果我没有,那么如何从tacacs服务器获取用户的权限,环境等?
感谢。
答案 0 :(得分:0)
TACACS +本身并未提供足够的详细信息来满足Linux系统的“名称服务”需求。例如,glibc的这一功能负责为系统提供用户“passwd”条目的详细信息。
可以使用自定义NSS模块实现此目的,该模块可以从TACACS +后端获取正确的详细信息。这类似于基于LDAP的身份验证,其中为用户提供了表示UID,GID,HOME,SHELL等项目的附加属性。
我不知道今天是否有一个提供此功能的开源模块,但它可能。