<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Apr 16, 2014 at 10:47 AM, Linda Slater <span dir="ltr"><<a href="mailto:lslater@yorku.ca" target="_blank">lslater@yorku.ca</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Couple questions:<br>
<br>
I am using PAM_LDAP  to authenticate our users via AD.    The additional<br>
requirements are now:<br>
<br>
<br>
<br>
1. No usernames in the Tac+ config file, I will define only groups and use<br>
AD groupings to decide if that user can be allowed to access a network<br>
device.   Does anyone have any examples using this method?  Currently,  I<br>
have the user name ......  login = PAM, listed in the tac...config file.<br>
<br>
2. Each user that logins into the Network device, must use their AD<br>
password to gain enable access to the network device.   Is anyone using<br>
this method to allow users enable access, given that the Tac+ enable<br>
password cannot be pointed to PAM?   Each user will have using their own<br>
AD login credentials.<br></blockquote><div><br></div><div>There's a patch for that.</div><div><br></div><div><a href="https://gist.github.com/ragzilla/11297928">https://gist.github.com/ragzilla/11297928</a></div><div>
<br></div><div>Allows for enable to be pointed to PAM, and also for DEFAULT user attributes to be used (such as login/enable) if there's no specific user. Planning to use this in my environment with do_auth (and a patch for that, to allow for pulling in NSS groups) so that the tac_plus.conf only has to have a default user and service accounts. Ideally you'd have 2 separate auth mechanisms for login/enable though (in our case we're using aceclnt for login, and PAM for enable).</div>
<div><br></div><div>~Matt</div></div></div></div>