Hi,<br><br>I am having issues with configuring account lockouts on 3
attempts using faillog and pam_tally, but I am not sure whether there
is a parameter ( a.k.a I didnt RTFM) which has to be added in the
configuration for it to work. I have read through man on AV Pairs,
which I thought could solve the problem, but it didn't seem to help:
<br><br>My tac_plus file in /etc/pam.d/:<br><br>#%PAM-1.0<br>auth&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; required&nbsp;&nbsp;&nbsp;&nbsp; pam_tally.so per_user onerr=fail deny=3<br>auth&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; required&nbsp;&nbsp;&nbsp;&nbsp; pam_env.so<br>auth&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; required&nbsp;&nbsp;&nbsp;&nbsp; pam_unix.so likeauth nullok
<span class="q"><br>account&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; required&nbsp;&nbsp;&nbsp;&nbsp; pam_stack.so service=system-auth<br>password&nbsp;&nbsp; required&nbsp;&nbsp;&nbsp;&nbsp; pam_stack.so service=system-auth<br>session&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; required&nbsp;&nbsp;&nbsp;&nbsp; pam_limits.so<br><br></span>And my tac_plus.cfg<br><br>
group = admin {<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; login = PAM
<br>}<br><br>user = netadm {<span class="q"><br>default service = permit<br>member = admin<br>}<br><br></span>The
problem that I have encountered, be it a successful or a failed login
attempt, pam_tally counts it as a failure, but the lockout feature
works fine when it reads that faillog has more than 3 &quot;failed&quot; attempts
for user netadm albeit those 3 attempts were successful logins.
<br><br>My /var/log/secure:<br><br>Dec&nbsp; 4 15:29:13 maskedhost tac_plus[6974]: pam_tally(tac_plus:auth): user netadm (500) tally 4, deny 3<br>Dec&nbsp;
4 15:29:15 maskedhost tac_plus[6974]: pam_unix(tac_plus:auth):
authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=&nbsp;
user=netadm
<br><br>I have figured that I have probably configured pam_tally to
necessarily do failed login counting and lockout feature, greatly
appreciate your help thus far but I am sorry I have to approach for
your assistance once again.
<br><br>PS: Sorry if you received 2 copies of this mail. It was a re-send<br><br>Cheers,<br><span class="sg">Lim Seng</span><br><br><div><span class="gmail_quote">On 12/1/06, <b class="gmail_sendername">Lim Seng</b> &lt;
<a href="mailto:limseng@gmail.com">limseng@gmail.com</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Thanks, that worked too, but the logs are complaining a lot about deprecated pam_stack calls. I firgured that just a simple line,
<br><br>#%PAM-1.0<br>auth&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; include&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; system-auth<br><br>allows PAM to work just fine with tac_plus. It doesn't lockout userids after 3 failed attempts though I have configured system-auth to do so, guess I'll look that up in PAM. However, thanks for the help though =)
<br><br>Cheers,<br><span class="sg">Lim Seng</span><div><span class="e" id="q_10f3bad13d70ecf5_2"><br><br><div><span class="gmail_quote">On 11/30/06, <b class="gmail_sendername">john heasley</b> &lt;<a href="mailto:heas@shrubbery.net" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
heas@shrubbery.net</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Thu, Nov 30, 2006 at 03:15:05PM +0800, Lim Seng:<br>&gt; Hi,<br>&gt;<br>&gt; I have edited the configuration to the following:<br>&gt;<br>&gt; group = admin {<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;login = PAM<br>&gt; }<br>&gt;<br>&gt; user = testuser1 {
<br>&gt; default service = permit<br>&gt; member = admin<br>&gt;<br>&gt; }<br>&gt;<br>&gt; When I type in the username, immediately I get &quot;% Authentication Failure&quot;,<br>&gt; wihtout it even prompting me for a password, is there a certain mandatory
<br>&gt; parameter that should have been inside? I manned through tac_plus.conf.5,<br>&gt; and it looks like simply this configuration will just work.<br>&gt;<br>&gt; Appreciate any advice once again, thanks a lot<br><br>

Did you configure PAM itself?&nbsp;&nbsp;This is what I used to test:<br><br>linucks [2] cat /etc/pam.d/tac_plus<br>#%PAM-1.0<br>auth&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; required&nbsp;&nbsp;&nbsp;&nbsp; pam_stack.so service=system-auth<br>account&nbsp;&nbsp;&nbsp;&nbsp;required&nbsp;&nbsp;&nbsp;&nbsp; pam_stack.so service=system-auth
<br>password&nbsp;&nbsp; required&nbsp;&nbsp;&nbsp;&nbsp; pam_stack.so service=system-auth<br>session&nbsp;&nbsp;&nbsp;&nbsp;required&nbsp;&nbsp;&nbsp;&nbsp; pam_limits.so<br><br><br>&gt; Cheers,<br>&gt; Lim Seng<br>&gt;<br>&gt;<br>&gt; On 11/25/06, <a href="mailto:tac_plus@shrubbery.net" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
tac_plus@shrubbery.net
</a> &lt;<a href="mailto:tac_plus@shrubbery.net" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">tac_plus@shrubbery.net</a>&gt; wrote:<br>&gt; &gt;<br>&gt; &gt;Fri, Nov 24, 2006 at 04:22:33PM +0800, Lim Seng:
<br>&gt; &gt;&gt; Dear Sir,<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; I have found RANCID to be a very interesting and useful software, and I
<br>&gt; &gt;am<br>&gt; &gt;&gt; currently using it to backup my network devices. Due to my positive<br>&gt; &gt;&gt; experience with RANCID, I decided to try out tac_plus by Shrubbery too,<br>&gt; &gt;&gt; seeing that your version comes with PAM authentication support as well.
<br>&gt; &gt;I am<br>&gt; &gt;&gt; glad to say everything works fine, but I'll like advice on the<br>&gt; &gt;particular<br>&gt; &gt;&gt; issue between tac_plus and PAM if possible.<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; I am currently using:
<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; Fedora Core 6<br>&gt; &gt;&gt; uname -r : 2.6.18-1.2849.fc6<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; I have compiled and installed tacacs+-F4.0.4.13, authenticating<br>&gt; &gt;primarily<br>&gt; &gt;&gt; from /etc/passwd.&nbsp;&nbsp;What I'll like to achieve is to set a system wide
<br>&gt; &gt;login<br>&gt; &gt;&gt; attempts of 3, and lockout any user account except root in PAM. My<br>&gt; &gt;system<br>&gt; &gt;&gt; already has that policy set, but I'll like to apply this policy to<br>&gt; &gt;tacacs as
<br>&gt; &gt;&gt; well. I have tried to set the authentication method to pam but it<br>&gt; &gt;doesn't<br>&gt; &gt;&gt; work, please see my config:<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; ---------------------------------Start of
<br>&gt; &gt;&gt; Config-------------------------------------------<br>&gt; &gt;&gt; key = examplekey<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; # Use /etc/passwd file to do authentication<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; default authentication = file /etc/passwd
<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; # Now tacacs+ also use default PAM authentication<br>&gt; &gt;&gt; #default authentication = pam system-auth ####Tried to set to PAM<br>&gt; &gt;&gt; authentication method but no go here.
<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; # Accounting records log file<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; accounting file = /var/log/tac_acc.log<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; #All services are alowed..<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; user = $enable$ {
<br>&gt; &gt;&gt; login = cleartext &quot;iamenabled&quot;<br>&gt; &gt;&gt; }<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; group = admin {<br>&gt; &gt;&gt; service = exec {<br>&gt; &gt;&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;default attribute = permit<br>&gt; &gt;&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;priv-lvl = 1
<br>&gt; &gt;&gt; }<br>&gt; &gt;&gt; }<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; user = tester1 {<br>&gt; &gt;&gt; name = &quot;tester1&quot;<br>&gt; &gt;&gt; member = testadmin<br>&gt; &gt;&gt; }<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; ---------------------------------End of
<br>&gt; &gt;&gt; Config-------------------------------------------<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; I have read through the INSTALL/users guide/FAQ file and tac_plus.h in<br>&gt; &gt;the<br>&gt; &gt;&gt; source code for further clues but I still can't get it right. I did not
<br>&gt; &gt;&gt; input any special configuration prefixes during compilation phase:<br>&gt; &gt;<br>&gt; &gt;In order for tac_plus to query/use PAM, you must configure those users or<br>&gt; &gt;groups to do so.&nbsp;&nbsp;See tac_plus.conf(5) top-level directive user and follow
<br>&gt; &gt;the relationship to user_attr, to login, then password_spec.&nbsp;&nbsp;eg:<br>&gt; &gt;<br>&gt; &gt;group = admin {<br>&gt; &gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;login = PAM<br>&gt; &gt;....<br>&gt; &gt;<br>&gt; &gt;&gt; ./configure --prefix=/usr/local/tacplus
<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; If the information provided is not sufficient I'll be glad to provide<br>&gt; &gt;more,<br>&gt; &gt;&gt; looking forward to your advice.<br>&gt; &gt;&gt;<br>&gt; &gt;&gt; Cheers,<br>&gt; &gt;&gt; Lim Seng
<br>&gt; &gt;<br></blockquote></div><br>

</span></div></blockquote></div><br>