Приветствую.
Возникла идея использовать аккаунтинг на оборудовании: как свичах, так и linux-серверах. Т.е. сделать единую систему ААА. Изначально думал, что возможно будет это сделать через freeradius, но оборудование Cisco не передает command accounting (логирование введенных команд пользователем) по протоколу radius, а передает только по tacacs+ (инфа с сайта cisco.com =) Linux-сервера при включенном pam_radius_auth тоже не передают accounting пакеты (только start-stop сессий). Суть идеи в том, чтобы вообще брать учетные записи с сервера AD (через LDAP) и смотреть у учетки наличие привязанных групп. TACACS+ позволяет такое делать (как и freeradius в принципе), но вот как с этим дела обстоят в linux? Насколько реально прикрутить AAA к sshd с command accounting'ом?
П.С. У коммутаторов HP Procurve есть возможность передавать command accounting по протоколу radius (http://wiki.freeradius.org/HP#Accounting command logging)
Дельные советы/мысли приветствуются.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.