Сетевые технологии
Централизованная аутентификация и авторизация
Проблема централизованной аутентификации в ОС Linux

Понятие "пользователя" и присущих ему атрибутов (домашняя директория, командная оболочка и т.п.) является одним из фундаментальных в архитектуре *NIX-подобных ОС, включая ОС Linux. Оно подразумевает, что пользователь определён локально на *NIX-хосте; в противном случае ОС технически не сможет обеспечить его работу. Это делает централизованную аутентификацию в значительной степени бессмысленной: проверить пароль пользователя можно на центральном сервере RADIUS или TACACS+, но при этом каждый пользователь всё равно должен иметь учётную запись на каждом хосте, на котором предполагается его работа. А если в системе сотни и тысячи хостов, которые каждый день добавляются и удаляются? И десятки или сотни сотрудников, которые постоянно поступают на работу, увольняются, растут по служебной лестнице, умирают, теряют доверие?

Стандартные средства ОС Linux не только не решают эту проблему, но и не предполагают её решения. В том числе, наличие локального пользователя обязательно даже в случае проключения в порты RS–232 без доступа к самому хосту — что является основной задачей для консольного сервера.

В ПО NSG Linux 2.1, под управлением которого работают устройства NSG, реализованы оригинальные фирменные разработки для этих целей, отсутствующие в общедоступных проектах с открытым кодом. Доступ без создания локальных учётных записей возможен в следующих случаях и при следующих ключевых настройках:

Вход в Web-интерфейс с централизованной аутентификацией и покомандной авторизацией по ТАСАCS+

services
: http
: : enable = true
: : aaa-policy = "http-server"
system
: aaa
: : http-server
: : : 1
: : : : type = "tacacs"
: : : : per-command-auth = true

Доступ по SSH к CLI устройства и к портам RS–232

port
: aNUM
: : encapsulation = "cisco-like-reverse-ssh"
: : cisco-like-reverse-ssh
: : : escape-char = "~"       // рекомендуется
services
: cisco-like-ssh
: : enable = true
system
: aaa
: : cisco-like-ssh
: : : 1
: : : : type = "tacacs"
: : : : per-command-auth = true
: : remote-access
: : : 1
: : : : type = "tacacs"       // или "radius"

Доступ по HTTPS к портам RS–232 с централизованной аутентификацией, без входа в CLI устройства

port
: aNUM
: : encapsulation = "web-terminal"
: : web-terminal
: : : escape-char = "~"       // рекомендуется
services
: web-terminal
: : enable = true
system
: aaa
: : remote-access
: : : 1
: : : : type = "tacacs"       // или "radius"

Подробнее о настройке см. последующие параграфы данного раздела.


© Network Systems Group 2015–2026 Отдел документации