TACACS+ mit Windows AD Authentifizierung

[Houtek]

Hallo zusammen,

ich stehe derzeit vor dem Problem einen TACACS+ Server auf Ubuntu Server 14.04 mit AD Authentifizierung einzurichten, um den Login auf unsere Cisco Kisten (Catalyst und SMB) sicherer zu machen.

TACACS an sich klappt, aber ich möchte die User nicht an mehreren Stellen pflegen müssen.

Hat es schon jemand hinbekommen? Ich habe schon - nach längerem Suchen - die Möglichkeit per PAM gefunden, aber mir fehlt irgendwie der richtige Weg, wie ich was einstellen muss.

Ich wäre froh, wenn mir jemand helfen könnte.

Gruß
Houtek

Edit:
Bevor ich es noch vergesse: Der DC für die AD Authentifizierung ist ein Windows 2008 R2 Server. Wir haben einen Serviceuser, der berechtigt ist, Abfragen im AD zu machen.

 

[Seratio]

Welchen Tacacs Server verwendest du denn? Ich hab bei uns auf arbeit den hier am laufen; TACACS+

 

[Houtek]

Welchen Tacacs Server verwendest du denn? Ich hab bei uns auf arbeit den hier am laufen; TACACS+

Ich habe es mit dem TAC_PLUS von Shrubbery Networks - TACACS+ daemon versucht. Vielleicht sollte ich mir die Variante mal ansehen.
Kannst du mir ggf. den Schnipsel von eurer Konfig zeigen, wo es um die Anbindung an AD geht? Natürlich mit geänderten Namen, wollen ja die Firmengeheimnisse bewahren

Mittlerweile habe ich auf unserem Win 2008 R2, auf dem auch der RADIUS für die WiFi Auth läuft, den Server von Tacacs.net installiert, der wirft aber auch noch die Fehlermeldung "User does not belong to group". Vielleicht passt da noch was mit den CN und OU nicht so zusammen. Im Serverumfeld bin ich leider relativ unerfahren, was das angeht. Bin bei uns einer der beiden Netzwerker und versuche unser Setup zu verbessern.