配置 TACACS+ shell 认证 - BlueCat Integrity - 9.5.0

管理指南

Locale
中文 (大陆)
Product name
BlueCat Integrity
Version
9.5.0

以下部分描述如何设置 TACACS+ 认证服务,该服务可用于使用 SSH 登录 Address Manager。

注意:
  • 升级到更高版本的 Address Manager 不会删除 TACACS+ 配置文件 (tacacs_config.sh);但是,在执行升级后,用于 shell 访问的 TACACS+ 认证配置将被删除,并且必须进行相应配置。
  • BlueCat 强烈建议您在开始之前先创建一个“Break Glass”帐户,以确保在配置出现意外情况时仍然可以访问 Address Manager。
  • 您必须具有正常运行的 TACACS+ 服务器,才能继续执行本节中概述的步骤。
  • 使用 TACACS+ 进行认证的 SSH 用户将不会在受限的 shell 环境中运行。如果 TACACS+ 用户必须运行受支持的命令,则 TACACS+ 用户必须在命令前使用 sudo

配置初始 TACACS+ 设置

运行 TACACS+ 设置脚本以配置 TACACS+ 服务器信息。

要运行 TACACS+ 设置脚本:
  1. 使用 SSH 和 root 帐号登录 Address Manager。
  2. 运行以下命令:
    tacacs_config.sh -h <TACACS server IP address/hostname> \
    -s <TACACS shared secret> \
    -a <TACACS auth service, pap, chap, or login>
    例如:
    tacacs_config.sh -h 192.168.0.1 -s bcnSharedSecret -a chap

配置 TACACS+ 组和用户

配置 TACACS+ 服务器信息后,您必须配置 TACACS+ 组和用户以允许他们登录 Address Manager。

要配置 TACACS+ 组和用户:
  1. 创建一个采用以下格式的 user.csv 文件:
    username, groupname, sudo commands, paths accessible to the user
    下面给出了 user.csv 文件的内容和格式示例:
    user01,group01,"/usr/bin/tail, /usr/local/sbin/rndc, /bin/cat","/var"
    user02,group01,"/usr/bin/ls, /sbin/reboot","/var"
    user03,group02,"/usr/bin/ls, /sbin/reboot"
    user04,group03,"","/var"
  2. 创建一个采用以下格式的 group.csv 文件:
    groupname, sudo commands, path where commands are run
    下面给出了 group.csv 文件的内容和格式示例:
    group01,"/sbin/ifup, /sbin/ifdown","/tmp"
    group02,/sbin/ifup
    group03,/sbin/ifdown
    注: 用于授予 TACACS+ 组和用户的命令并不仅限于所提供的示例。您可以根据需要配置命令。
    注意: BlueCat 强烈建议查看为 TACACS+ 组和用户授予的可访问路径和命令,因为它们可以提供与 root 用户等效的访问权限。
  3. 使用 SSH 和 root 帐号登录 Address Manager。
  4. 运行以下命令:
    tacacs_config.sh user.csv
    tacacs_config.sh user.csv group.csv
    注意: 如果组正在使用 sudo 命令,则即使某个用户属于该组,该用户也不能使用相同的 sudo 命令。例如,如果 user01 属于 group01,并且 group01 在组配置文件中使用了 sudo run /bin/cat,则 user01 不能使用 sudo run /bin/cat

当您运行 tacacs_config.sh 命令以配置用户和组之后,授权用户和组即可使用 TACACS+ 认证来访问 SSH。

删除 TACACS+ 配置

要删除 TACACS+ 配置:
  1. 创建一个具有以下内容的 delete.csv 文件:
    CONFIRM_TO_DELETE_ALL_TACACS_USERS
  2. 使用 SSH 和 root 帐号登录 Address Manager。
  3. 运行以下命令:
    tacacs_config.sh delete.csv
  4. 运行以下命令以禁用 TACACS+ 服务:
    tacacs_setup.sh -r

运行 tacacs_setup.sh 命令后,系统会立即为 SSH 连接禁用 TACACS+ 认证。