Tacacs作為一個驗證工具,其網站上資料較少,只有一些缺省配置,并且沒有提到如果在應用中與其自帶的Group功能做集成,
這里使用免費的windows 版的TACACS.net 作介紹http://www.tacacs.net/
安裝略過不提,裝好后其核心配置文件可以在開始菜單的config目錄中找到,默認位置為C:\ProgramData\TACACS.net\config
authentication.xml
authorization.xml
clients.xml
tacplus.xml
引一段介紹TACACS+的話:
TACACS+ is an Authentication, Authorization, and Accounting (AAA) protocol originally developed for the U.S. Department of Defense for authentication to network devices such as routers, switches, and firewalls.
可以看出,TACACSNET的配置文件完全對應了以上提到的Authentication/Authorization。
應用中對Tacacs+ group的設置
在應用中填加跟TACACS group有關的內容時,一般需要提供以下內容:
Group authorization:
Method:TACACS+ custom attribute for group name
Service:自己在各TACACS+ 服務器中定義, 我們這里使用TacacsNet默認的shell作為默認service
Attribute name: 這里要跟TACACS+服務器中設定的group授權屬性對應上,這里用group_name
Tacacs+服務器文件設置
authentication.xml中加入用戶與組
authorization.xml中加入對以上組的授權,在<AutoExec>中設置user_group的返回值,對應自己的組,這個值是給應用程序用的,用來確認該user1用戶所屬的組
最后,測試命令如下
C:\Program Files (x86)\TACACS.net>tactest -s 127.0.0.1 -k pass -u user1 -author
-service shell
該測試命令返回PassAdd中包含user_group
Linux下其他的Tacacs+服務器配置可能不同,這里只介紹這個免費版Tacacs+服務器的配置。
文章列表
留言列表
