pam_tacplus.so и sshd: пропустить проверку пользователя?

Я пытаюсь реализовать аутентификацию tacacs в поле freebsd как клиент. Коробка на самом деле является сетевым устройством, которое ДОЛЖНО иметь эту конфигурацию, встроенную в ее cli / ui, но этого не делает. Поскольку он построен на freebsd, он имеет встроенную библиотеку pam_tacplus.so .

Моя проблема в том, что я хочу аутентифицироваться на нашем сервере tacacs, но я не хочу настраивать локальные учетные записи на устройстве. Вот файл pam.conf:

su auth sufficient pam_rootok.so su auth sufficient pam_unix.so login auth required pam_unix.so login account required pam_unix.so login password required pam_permit.so login session required pam_permit.so ftpd auth required pam_unix.so sshd auth sufficient pam_tacplus.so template_user=testuser sshd auth required pam_unix.so sshd account required pam_unix.so sshd password required pam_permit.so sshd session required pam_permit.so telnetd auth required pam_unix.so passwd password required pam_unix.so no_warn try_first_pass nullok other auth required pam_unix.so 

IP-адрес сервера tacacs хранится в файле /etc/tacplus.conf, и, поскольку я вижу сбои в журнале сервера tacacs, я считаю, что сообщение успешное. Кроме того, я могу установить TCP-сеанс на сервер на порт 49.

Когда я пытаюсь войти через ssh как jimbob, вот что я вижу в /var/log/auth.log:

 <auth.info> Lab-2 sshd[4952]: Invalid user jimbob from 10.0.0.1 <auth.info> Lab-2 sshd[4952]: input_userauth_request: invalid user jimbob <auth.info> Lab-2 sshd[4952]: Failed none for invalid user jimbob from 10.0.0.1 port 52069 ssh2 <auth.info> Lab-2 sshd[4952]: Failed publickey for invalid user jimbob from 10.0.0.1 port 52069 ssh2 <auth.info> Lab-2 sshd[4952]: Postponed keyboard-interactive for invalid user jimbob from 10.0.0.1 port 52069 ssh2 <auth.info> Lab-2 sshd[4952]: Postponed keyboard-interactive/pam for invalid user jimbob from 10.0.0.1 port 52069 ssh2 <auth.err> Lab-2 sshd[4953]: error: ssh_msg_send: write 

После поиска, похоже, это применимо. Это, однако, говорит о NSS, который контролируется nsswitch.conf, которого нет в этой системе. Там, кажется, нет плагина tacacs для NSS; Я не уверен, что это будет важно, в моем случае, если бы это было так.

Итак, есть ли способ пропустить проверку локального файла passwd для пользователя, прежде чем попасть в библиотеку pam_tacplus.so? Я предполагаю, что если бы это было, параметр template_user = мог бы наткнуться и попытаться использовать «testuser», который существует как localuser:

 pw user show testuser testuser:*:1003:1003::0:0:User &:/home/testuser:/usr/bin/bash 

One Solution collect form web for “pam_tacplus.so и sshd: пропустить проверку пользователя?”

Вы можете достичь этого легко, как и я. Вы правы, вы должны использовать файл nsswitch.conf. Однако вам придется установить стороннюю программу libnss-ato, которая означает All-To-One. Он будет проверять нелокальных пользователей на настроенном сервере tacacs +, а затем вести себя точно так, как вы хотели.

Вы можете получить этот пакет и его данные здесь: https://github.com/donapieppo/libnss-ato

  • Ключевые кодовые фразы и SSH-кэшированная аутентификация?
  • Включить массивный одновременный SSH на один сервер
  • Как исключить из «Match Group» в SSHD?
  • Почему sshd требует абсолютного пути?
  • CentOS 7 добавляет нового пользователя с привилегиями root
  • sshd_config Параметр MaxSessions
  • Разрешить пользователям SFTP создавать субсчета
  • Как разрешить ssh-соединение отказано в AIX?
  • sign_and_send_pubkey: сбой подписи: агент отказался от операции CentOS 7 только между определенными серверами
  • Команда sudo внутри блока heredoc в сеансе ssh не работает
  • Как начать SSHD в начале Fedora?
  • Какова цель ssh-agent?
  • Linux и Unix - лучшая ОС в мире.