TACACS unter CentOS 6
Informationen über TACACS gibt es in der Wikipedia (http://de.wikipedia.org/wiki/TACACS). Dieser Artikel zeigt nur, wie man einen TACACS-Server auf CentOS 6 64bit installiert.
Installation
- Die Quelltexte gibt es unter: ftp://ftp.shrubbery.net/pub/tac_plus
- Herunterladen mittels:
wget ftp://ftp.shrubbery.net/pub/tac_plus/tacacs+-F4.0.4.26.tar.gz
- Quellen entpacken:
tar xzf tacacs+-F4.0.4.26.tar.gz
- Standardmaessig sind nicht alle notwendigen Pakete installiert um den Tacacs-Daemon zu kompilieren – die werden jetzt nachinstalliert:
yum install -y make gcc-c++ flex bison tcp_wrappers-devel.x86_64 man xinetd
- Configure, make, make install durchfuehren – vorher aber noch in Ordner mit den Quellen wechseln:
cd tacacs+-F4.0.4.26
./configure --prefix=/usr
make
make install
- Der Tacacs-Dienst ist jetzt installiert. Bevor er das erste mal gestartet werden kann, muss ein ldconfig aufgerufen werden, damit die installierten libraries erkannt werden:
ldconfig
- Es fehlt noch der Ordner mit der Konfigurationsdatei. Dieser wird in /etc/ angelegt und darin die Konfigurationsdatei.
mkdir /etc/tac_plus
touch /etc/tac_plus/tacacs.conf
- Der Tacacs-Dienst wird ueber xinetd gestartet und muss dort mit einer Konfigurationsdatei versehen werden, damit xinetd den Dienst ueberhaupt kennt. Ausserdem muss xinetd noch aktiviert und gestartet werden:
touch /etc/xinetd.d/tacacs
- Moeglicher Inhalt der Konfigurationsdatei ist:
service tacacs
{
socket_type = stream
protocol = tcp
wait = no
disable = no
user = root
server = /usr/bin/tac_plus
server_args = -C /etc/tac_plus/tac_plus.conf -L -p 49 -i -d 16
cps = 50 10
flags = IPv4
}
chkconfig xinetd on
service xinetd restart
Konfiguration des Tacacs-Dienstes
Nachdem die notwendigen Dateien installiert sind und auch der xinetd den Tacacs-Dienst kennt um ihn zu starten, kann jetzt die eigentliche Tacacs-Konfiguration eingespielt werden. Eine minimale Konfiguration in /etc/tac_plus/tac_plus.conf koennte etwa so aussehen:
accounting file = /var/log/tac-plus/account
key = 85bc054457f1d43c15de234813b4856b66d474ebde7fd6258beb532fc7
group = all {
default service = permit
service = exec {
priv-lvl = 15
}
}
user = lando {
member = all
login = des $1$0T$Ntl2SGIAxzGnEjdpjLFi00
}
Passworte, wie hier eins in der login-Zeile zu sehen ist, koennen mit tac_pwd generiert werden. Standardmaessig werden crypt-Passworte erzeugt. Es gibt mit dem Paramter -m auch die Moeglichkeit, MD5-Passworte zu nutzen. Mehr Informationen ueber die Konfiguration gibts in der Manpage: man tac_plus.conf
.
Schreibe einen Kommentar