在我工作的地方,为了拨接的;Internet;用户TACACS;认;(连接到我们的数据机埠,轮流接到几部;Cisco;25
0x;存取伺服器),我们使用;Vikas;版的;“xtacacsd”。;
在编译及安装好;Vikas;套件後;(最新的版本在;ftp://ftp.navya.com/pub/vikas;;我不相信该套件有;
RPM;格式),您应该加入下面几行到``/etc/inetd.conf'';这个档案,如此一来无论何时收到该TACACS请求
时该;daemon;会由;inetd;daemon;载入。;
#;TACACS;is;a;user;authentication;protocol;used;for;Cisco;Router;products.
tacacs;dgram;udp;wait;root;/etc/xtacacsd;xtacacsd;-c;/etc/xtacacsd-conf
下一步您应该编辑;``/etc/xtacacsd-conf'';档并依您的系统需要订它;(然而您可以使用原来预设的设定).;
注意:;如果您使用;shadow;password;(查看;Linux;密码及;Shadow;档案格式;;有关细节),;您用这套件
会有问题。不幸地,Red;Hat用来作用户认的;PAM;(Pluggable;Authentication;Module)并不支援这个
套件。我用来解决这问题的方法是在;``/usr/local/xtacacs/etc/'';下保留一个另外的``passwd''档,
它和位於;/etc/;下的相符合但并未;shadow。;这麽做有一点麻烦,而且如果您选择这麽做,必须确定其
他的密码档已经设定成只有;root;才能读取;:;
chmod;a-wr,u+r;/usr/local/xtacacs/etc/passwd
如果您真的需要;shadow,;几乎可以确定您必需编辑;``/etc/xtacacsd-conf'';档,并且要指定未;shadow;
密码档的位置;(假设您使用上面我提的方法的话).;
下一步是组态您的存取伺服器,以认由;TACACS;登入的设备;(像是拨接数据机)。这里是如何完成的示:;
mail:/tftpboot#;telnet;xyzrouter
Escape;character;is;'^]'.
User;Access;Verification
Password:;****
xyzrouter>;enable
Password:;****
xyzrouter#;config;terminal
Enter;configuration;commands,;one;per;line.;;End;with;CNTL/Z.
xyzrouter(config)#;tacacs-server;attempts;3
xyzrouter(config)#;tacacs-server;authenticate;connections
xyzrouter(config)#;tacacs-server;extended
xyzrouter(config)#;tacacs-server;host;123.12.41.41
xyzrouter(config)#;tacacs-server;notify;connections
xyzrouter(config)#;tacacs-server;notify;enable
xyzrouter(config)#;tacacs-server;notify;logouts
xyzrouter(config)#;tacacs-server;notify;slip
xyzrouter(config)#;line;2;10
xyzrouter(config-line)#;login;tacacs
xyzrouter(config-line)#;exit
xyzrouter(config)#;exit
xyzrouter#;write
Building;configuration...
[OK]
xyzrouter#;exit
Connection;closed;by;foreign;host.
所有;TACACS;运作的;;log;讯息将会记录在;``/var/log/messages'';档中
标签: linux
