Настроил авторизацию с помощью Mavis Tacacs+. Работает, если пользователей в файле конфигурации прописывать, но хочу сделать, чтобы без прописывания пользователей сервер их брал из группы AD. В AD создана группа
tacacsadmin. Вроде, группу в конф.файле прописал по правилам Tacacs+, учитывая префикс, но что-то не пускает, хотя сеанс по SSH устанавливается, и запрашивается пароль.
id = spawnd {
listen = { address = 0.0.0.0 port = 49 }
#Uncomment the line below for IPv6 support
#listen = { address = :: port = 49 }
spawn = {
instances min = 1
instances max = 10
}
background = yes
}
id = tac_plus {
access log = /var/log/tac_plus/access/%Y/%m/access-%m-%d-%Y.txt
accounting log = /var/log/tac_plus/accounting/%Y/%m/accounting-%m-%d-%Y.txt
authentication log = /var/log/tac_plus/authentication/%Y/%m/authentication-%m-%d-%Y.txt
mavis module = external {
setenv LDAP_SERVER_TYPE = "microsoft"
setenv LDAP_HOSTS = "172.31.2.113:3268 172.31.4.4:3268"
setenv LDAP_BASE = "DC=domain,DC=ru"
setenv LDAP_SCOPE = sub
setenv LDAP_FILTER = "(&(objectClass=user)(sAMAccountName=%s))"
setenv LDAP_USER = "tacacs@domain.ru"
setenv LDAP_PASSWD = "VerySecretPassword"
setenv UNLIMIT_AD_GROUP_MEMBERSHIP = 1
# setenv EXPAND_AD_GROUP_MEMBERSHIP = 0
setenv AD_GROUP_PREFIX = "tacacs"
# setenv REQUIRE_TACACS_GROUP_PREFIX = 0
exec = /usr/local/lib/mavis/mavis_tacplus_ldap.pl
}
login backend = mavis
user backend = mavis
pap backend = mavis
host = world {
address = 0.0.0.0/0
key = cisco
}
group = ADMIN {
default service = permit
service = exec {
set priv-lvl = 15
}
}
# user = gr {
# member = ADMIN
# }
# user = dv {
# member = ADMIN
# }
Простой
Средний
Средний
