FreeBSD tacacs+客户端

Question

我一直试图在tacacs+ 9.2上运行一个FreeBSD客户端，但它不起作用。服务器在使用tacacs.net的窗口上。我知道服务器正在工作，因为我可以让客户端在cisco路由器上工作。但我不能让它在FreeBSD上工作。

这是我的/etc/pam.d/tacacs文件：

auth        sufficient    /usr/lib/pam_tacplus.so     debug    server = 10.0.0.9    secret=somesecret
account     sufficient    /usr/lib/pam_tacplus.so     debug    server = 10.0.0.9    secret=somesecret    protocol=login
session     sufficient    /usr/lib/pam_tacplus.so     debug    server = 10.0.0.9    secret=somesecret    protocol=login

和/etc/pan.d/登录：

auth        include        tacacs
account        include        tacacs
session        include        tacacs

和/etc/tacplus.conf：

10.0.0.9        "somesecret"        15

问题是，关于如何做到这一点，没有任何好的教程，我所做的只是基于一些论坛，我不确定它们是否正确。

如果你能帮我的话我会很感激。谢谢,

编辑:我关闭了我的防火墙窗口，现在它连接。但是现在当我尝试登录时，它提示我输入密码大约5次，然后它说“登录错误，但是密码是正确的。”

EDIT2:我发现它的身份验证是正确的，FreeBSD得到了它，但仍然没有登录。我猜“登录”服务正在寻找其他地方的登录信息，却找不到TACACS+用户。我已经阅读了login.conf文件，还没有能够理解它。

Answer 1

好吧，我找到了让它工作的方法。在完成所有这些配置之后，您将需要在客户端系统上本地添加您想要登录的TACACS+用户。例如，TACACS+服务器上有一群用户，现在您希望使用用户"one“登录到客户机上。您将需要在本地添加此用户，而不需要进行任何进一步的配置，并且您将被设置。问题是，您不可能知道TACACS+服务器上的所有用户；所以我仍然在寻找更好的方法。

更新更好的方法是使用pam_exec.so。您可以编写一个将用户添加到系统中的脚本，并让pam_exec执行它。