1. ホーム
  2. 質問と答え
  3. tac_plus Active Directoryの設定

tac_plus Active Directoryの設定

2016-05-04 21 views
1

私はpro bono tac_plusの設定に問題があるようです。tac_plus Active Directoryの設定

私のスイッチは私に次のログメッセージ

5月4日20時58分52秒SV5-C1-R104-AE02のAaa与えている

:%AAA-4-EXEC_AUTHZ_FAILEDを:ユーザがjdamblyシェルを起動するための許可を失敗した

私は私のグループのマッピングが正しく設定されていないように見えるtac_plusログを見れば、ここにログ

May 4 14:04:22 neteng tac_plus[14476]: 1/9a920270: Start authorization request 
May 4 14:04:22 neteng tac_plus[14476]: 1/9a920270: cfg_get: checking user/group jdambly, tag (NULL) 
May 4 14:04:22 neteng tac_plus[14476]: 1/9a920270: cfg_get: checking user/group jdambly, tag (NULL) 
May 4 14:04:22 neteng tac_plus[14476]: 1/9a920270: user 'jdambly' found 
May 4 14:04:22 neteng tac_plus[14476]: 1/9a920270: cfg_get: checking user/group jdambly, tag (NULL) 
May 4 14:04:22 neteng tac_plus[14476]: 1/9a920270: [email protected]: not found: [email protected] protocol= 
May 4 14:04:22 neteng tac_plus[14476]: 1/9a920270: [email protected]: not found: svcname=shell protocol= 
May 4 14:04:22 neteng tac_plus[14476]: 1/9a920270: [email protected]: svcname=shell protocol= not found, default is <unknown> 
May 4 14:04:22 neteng tac_plus[14476]: 1/9a920270: Writing AUTHOR/FAIL size=18

はここに私の設定

ID = taがあるさc_plus { デバッグ= PACKETのAUTHEN著者MAVIS

access log = /var/log/tac_plus/access.log 
    accounting log = /var/log/tac_plus/acct.log 
    authorization log = /var/log/tac_plus/auth.log 

    mavis module = external { 
      setenv LDAP_SERVER_TYPE = "microsoft" 
      #setenv LDAP_HOSTS = "ldaps://xxxxxx:3268" 
      setenv LDAP_HOSTS = "xxxxxx:3268" 
      setenv LDAP_SCOPE = sub 
      setenv LDAP_BASE = "dc=nskope,dc=net" 
      setenv LDAP_FILTER = "(&(objectclass=user)(sAMAccountName=%s))" 
      setenv LDAP_USER = "[email protected]" 
      setenv LDAP_PASSWD = "xxxxxxxx" 
      #setenv AD_GROUP_PREFIX = devops 
      # setenv REQUIRE_AD_GROUP_PREFIX = 1 
      # setenv USE_TLS = 0 
      exec = /usr/local/lib/mavis/mavis_tacplus_ldap.pl 
    } 

    user backend = mavis 
    login backend = mavis 
    pap backend = mavis 
    skip missing groups = yes 
    host = world { 
      address = 0.0.0/0 
      prompt = "Welcome\n" 
      key = cisco 
    } 

    group = devops { 
      default service = permit 
      service = shell { 
        default command = permit 
        default attribute = permit 
        set priv-lvl = 15 
      } 
    }

}

私は広告グループを設定してグループにDevOpsチームにマップしようとしているが、私はそれが失敗だと思うと、私は、なぜ

得ることはありません

出典

2016-05-04 Jeff d' Ambly

答えて

1

私は次の設定を使用してこの作業を行っています。

#!../../../sbin/tac_plus 

id = spawnd { 
    listen = { port = 49 } 
    spawn = { 
      instances min = 1 
      instances max = 10 
    } 
    background = no 
} 

id = tac_plus { 
    debug = PACKET AUTHEN AUTHOR MAVIS 

    access log = /var/log/tac_plus/access.log 
    accounting log = /var/log/tac_plus/acct.log 
    authorization log = /var/log/tac_plus/auth.log 

    mavis module = external { 
      setenv LDAP_SERVER_TYPE = "microsoft" 
      #setenv LDAP_HOSTS = "ldaps://xxxxxxxxx:3268" 
      setenv LDAP_HOSTS = "xxxxxxxxx:3268" 
      #setenv LDAP_SCOPE = sub 
      setenv LDAP_BASE = "cn=Users,dc=nskope,dc=net" 
      setenv LDAP_FILTER = "(&(objectclass=user)(sAMAccountName=%s))" 
      setenv LDAP_USER = "xxxxxxxx" 
      setenv LDAP_PASSWD = "xxxxxxxx" 
      #setenv FLAG_FALLTHROUGH=1 
      setenv UNLIMIT_AD_GROUP_MEMBERSHIP = "1" 
      #setenv EXPAND_AD_GROUP_MEMBERSHIP=1 
      #setenv FLAG_USE_MEMBEROF = 1 
      setenv AD_GROUP_PREFIX = "" 
      # setenv REQUIRE_AD_GROUP_PREFIX = 1 
      # setenv USE_TLS = 0 
      exec = /usr/local/lib/mavis/mavis_tacplus_ldap.pl 
    } 

    user backend = mavis 
    login backend = mavis 
    pap backend = mavis 
    skip missing groups = yes 
    host = world { 
      address = 0.0.0/0 
      #prompt = "Welcome\n" 
      key = cisco 
    } 

    group = devops { 
      default service = permit 
      service = shell { 
        default command = permit 
        default attribute = permit 
        set priv-lvl = 15 
      } 
    }

}本当にトリックは、それはすべての広告グループに接頭辞を探していないこれらの設定で

setenv UNLIMIT_AD_GROUP_MEMBERSHIP = "1" 
setenv AD_GROUP_PREFIX = ""

を追加してやった

。この設定では、このファイルで設定されたグループに広告グループを直接マッピングできます。私の場合、グループはdev opsです。また、これらのクエストがなければ、var UNLIMIT_AD_GROUP_MEMBERSHIPを1に設定しないので、その周りにクォートを使用しなければならないことに注意してください。うまくいけば、これは他の誰かを助けることができるので、私がやったすべての痛みを経験する必要はありません)

出典

2016-05-04 23:08:53

関連する問題

 関連する問題