<font size=3 face="sans-serif">The idea is the user will still need to
enable up but instead of using a generic password , they will use their
AD password.  I am not sure if , I need to script that information
in LDAP.conf /AD or somehow utilise the PAM module.   Still learning
the capabilities of LDAP and PAM.</font><font size=3> </font>
<br><font size=3 color=blue><u><br>
</u></font><font size=2 face="sans-serif">Linda</font>
<br>
<br>
<br><font size=1 color=#5f5f5f face="sans-serif">From:      
 </font><font size=1 face="sans-serif">Daniel Schmidt <daniel.schmidt@wyo.gov></font>
<br><font size=1 color=#5f5f5f face="sans-serif">To:      
 </font><font size=1 face="sans-serif">Linda Slater <lslater@yorku.ca>,
</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Cc:      
 </font><font size=1 face="sans-serif">"tac_plus@shrubbery.net"
<tac_plus@shrubbery.net></font>
<br><font size=1 color=#5f5f5f face="sans-serif">Date:      
 </font><font size=1 face="sans-serif">2014/04/16 10:54 AM</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Subject:    
   </font><font size=1 face="sans-serif">Re: [tac_plus]
TACPLUS AD Authentication</font>
<br>
<hr noshade>
<br>
<br>
<br><font size=3>I guess that would work if you wanted EVERY ad user to
have access.  Full access, at that. </font>
<br>
<br><font size=3>If you priv_15 everybody, they shouldn't need an enable
password.  Doesn't seem 2 work 4 the ASA though.  Give everybody
one generic enable password maybe.  </font>
<br><font size=3><br>
</font>
<br><font size=3>On Wed, Apr 16, 2014 at 8:47 AM, Linda Slater <</font><a href=mailto:lslater@yorku.ca target=_blank><font size=3 color=blue><u>lslater@yorku.ca</u></font></a><font size=3>>
wrote:</font>
<br><font size=3>Couple questions:<br>
<br>
I am using PAM_LDAP  to authenticate our users via AD.    The
additional<br>
requirements are now:<br>
<br>
<br>
<br>
1. No usernames in the Tac+ config file, I will define only groups and
use<br>
AD groupings to decide if that user can be allowed to access a network<br>
device.   Does anyone have any examples using this method?  Currently,
 I<br>
have the user name ......  login = PAM, listed in the tac...config
file.<br>
<br>
2. Each user that logins into the Network device, must use their AD<br>
password to gain enable access to the network device.   Is anyone
using<br>
this method to allow users enable access, given that the Tac+ enable<br>
password cannot be pointed to PAM?   Each user will have using their
own<br>
AD login credentials.<br>
<br>
<br>
<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
URL: <</font><a href=http://www.shrubbery.net/pipermail/tac_plus/attachments/20140416/89ba12d8/attachment.html target=_blank><font size=3 color=blue><u>http://www.shrubbery.net/pipermail/tac_plus/attachments/20140416/89ba12d8/attachment.html</u></font></a><font size=3>><br>
_______________________________________________<br>
tac_plus mailing list</font><font size=3 color=blue><u><br>
</u></font><a href=mailto:tac_plus@shrubbery.net><font size=3 color=blue><u>tac_plus@shrubbery.net</u></font></a><font size=3 color=blue><u><br>
</u></font><a href=http://www.shrubbery.net/mailman/listinfo/tac_plus target=_blank><font size=3 color=blue><u>http://www.shrubbery.net/mailman/listinfo/tac_plus</u></font></a>
<br>
<br><tt><font size=3><br>
E-Mail to and from me, in connection with the transaction <br>
of public business, is subject to the Wyoming Public Records <br>
Act and may be disclosed to third parties.<br>
<br>
</font></tt>
<br>