Tacacs+与PAM双因素谷歌认证？

Question

我正在为我的校园网络开发一个tacacs+服务器，我一直在想如何设置一个tacacs+服务器来与运行谷歌双因素身份验证的PAM进行通信。我已经做了相当多的谷歌搜索，找到了一些有用的信息，但我还没有找到清晰的“路线图”，而且很多步骤充其量似乎是模糊的。我已经有一个Ubuntu tacacs+测试床正在运行，目前还没有配置交换机或路由器。

有人做过这样的事吗？我在红帽电子邮件链中找到了一个比较好的指南：https://www.redhat.com/archives/pam-list/2014-March/msg00008.html。

我不知道下一步该去哪里，也不知道这个系统是如何工作的。有什么我可以效法的例子或者其他人的建议吗？我觉得我现在正处于试错模式。

编辑:具体来说，我现在正盯着/etc/pam.d/(tac_plus？)中的PAM配置文件。不管它叫什么)，我也不知道到底该去哪里。那是谷歌认证还是tacacs+认证？我的示例类似于下面发布的代码，但我不确定这里的代码是什么：

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass 
use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in 
crond quiet use_uid
session     required      pam_unix.so
session     required      pam_mkhomedir.so skel=/etc/skel/ umask=0077
session     optional      pam_ldap.so

还有一个配置，它看起来很简单，但是和其他东西一样，我从来没有见过它，所以我不太确定。看起来是这样的：

# admin group
group = admins {
        default service = permit
        login = PAM
        service = exec {
             priv-lvl = 15
        }
}

Answer 1

将其分成两部分，pam目录用于服务的身份验证: tac_plus。tac_plus配置文件用于服务: tacacs+

PAM

Pam是您的可插拔身份验证，您将在这里使用google配置用户/密码身份验证，因为google通常用于诸如RADIUSD和SSHD之类的服务，因此我将为此窃取一些公共代码。

#1谷歌的结果是高科技男，我实际上已经对他的一些安全实践这里写了一篇批评文章，但本质上是：

将此添加到pam.d/tac_plus的第四部分

auth requisite pam_google_authenticator.so forward_pass
auth required pam_unix.so use_first_pass

您可以修改google键的位置，如果您想从ldap向用户提供数据并预生成他们的BASE32密钥，而不是使用google工具。更多关于谷歌的信息_auth pam模

TACACS++

tac_plus是一种服务，当您使用该服务进行身份验证时，它将使用tac_plus的pam模块，与radiusd和sshd相同。

关于如何配置它，有很多指南，例如，http://www.shrubbery.net/tac_加/，遗憾的是，我还没有亲自配置tac_plus。

读

当您使用google auth forward_pass进行身份验证时，您的密码是密码&googleauth

密码: MyPassword

google : 222555

输入的结果密码: MyPassword222555