<div dir="ltr"><div><div>Hello All,<br><br></div>I am using pam_tacplus.so for tacacs+ authentication for Linux client (CentOS) on a small PC based system. <br><br></div><div>I am wondering how could I get Linux groups working. As far as I know, tacplus inherently does not support Linux group at all as it is more designed for CISCO devices. <br><br></div><div>If we can't support the Linux groups from tacacs+, is there any way that I could pass on some information from tacplus server to the Linux pam_tacplus module either during authorization or authentication phase which could be used by the pam_tacplus do change user info on the fly. I know it won't be the best way to do so, but it may work. I have done similar changes for other pam_radius module and it works pretty well.<br><br></div>it could also be possible that my server configurations are not good.<br><div><br></div><div>I am sending authorization request from client, but the server does not seems to understand the "service=shell". It says "No identifiable service/protocol in authorization request".<br><br>=============================================<br><br></div><div>My server config<br><br>group = test {<br>        default service = deny<br>        login = file /etc/passwd<br>        enable = file /etc/passwd<br>        service = shell {<br>                priv-lvl= 15<br>        }<br>}<br>user = joe {<br>        member = test<br>}<br><br><br></div><div>Please find below the server side log.<br><br>===============================================<br>Fri Feb 20 11:03:09 2015 [7437]: 0x73 0x73 0x68 <br>Fri Feb 20 11:03:09 2015 [7437]: type=AUTHOR, priv_lvl=0, authen=2<br>Fri Feb 20 11:03:09 2015 [7437]: method=tacacs+<br>Fri Feb 20 11:03:09 2015 [7437]: svc=3 user_len=3 port_len=3 rem_addr_len=12<br>Fri Feb 20 11:03:09 2015 [7437]: arg_cnt=2<br>Fri Feb 20 11:03:09 2015 [7437]: User: <br>Fri Feb 20 11:03:09 2015 [7437]: joe<br>Fri Feb 20 11:03:09 2015 [7437]: port: <br>Fri Feb 20 11:03:09 2015 [7437]: ssh<br>Fri Feb 20 11:03:09 2015 [7437]: rem_addr: <br>Fri Feb 20 11:03:09 2015 [7437]: 192.168.2.30<br>Fri Feb 20 11:03:09 2015 [7437]: arg[0]: size=13 <br>Fri Feb 20 11:03:09 2015 [7437]: service=shell<br>Fri Feb 20 11:03:09 2015 [7437]: arg[1]: size=12 <br>Fri Feb 20 11:03:09 2015 [7437]: protocol=ssh<br>Fri Feb 20 11:03:09 2015 [7437]: End packet<br>Fri Feb 20 11:03:09 2015 [7437]: Writing AUTHOR/ERROR size=75<br>Fri Feb 20 11:03:09 2015 [7437]: PACKET: key=<NULL><br>Fri Feb 20 11:03:09 2015 [7437]: version 192 (0xc0), type 2, seq no 2, flags 0x1<br>Fri Feb 20 11:03:09 2015 [7437]: session_id 0 (0x0), Data length 63 (0x3f)<br>Fri Feb 20 11:03:09 2015 [7437]: End header<br>Fri Feb 20 11:03:09 2015 [7437]: Packet body hex dump:<br>Fri Feb 20 11:03:09 2015 [7437]: 0x11 0x0 0x0 0x0 0x39 0x0 0x4e 0x6f 0x20 0x69 0x64 0x65 0x6e 0x74 0x69 0x66 <br>Fri Feb 20 11:03:09 2015 [7437]: 0x69 0x61 0x62 0x6c 0x65 0x20 0x73 0x65 0x72 0x76 0x69 0x63 0x65 0x2f 0x70 0x72 <br>Fri Feb 20 11:03:09 2015 [7437]: 0x6f 0x74 0x6f 0x63 0x6f 0x6c 0x20 0x69 0x6e 0x20 0x61 0x75 0x74 0x68 0x6f 0x72 <br>Fri Feb 20 11:03:09 2015 [7437]: 0x69 0x7a 0x61 0x74 0x69 0x6f 0x6e 0x20 0x72 0x65 0x71 0x75 0x65 0x73 0x74 <br>Fri Feb 20 11:03:09 2015 [7437]: type=AUTHOR/REPLY status=17 (AUTHOR/ERROR) <br>Fri Feb 20 11:03:09 2015 [7437]: msg_len=0, data_len=57 arg_cnt=0<br>Fri Feb 20 11:03:09 2015 [7437]: msg: <br>Fri Feb 20 11:03:09 2015 [7437]: data: <br>Fri Feb 20 11:03:09 2015 [7437]: No identifiable service/protocol in authorization request<br>Fri Feb 20 11:03:09 2015 [7437]: End packet<br>Fri Feb 20 11:03:09 2015 [7437]: authorization query for 'joe' ssh from 192.168.2.201 rejected<br><br><br></div><div><br></div><div><br></div><div>Thanks in advance for any help.<br></div><div><br></div><div><div><div><div><div class="gmail_signature"><br><div>--</div><div><a href="http://about.me/chandank" target="_blank">http://about.me/chandank</a><br></div></div></div>
</div></div></div></div>