
<font size=3 face="sans-serif">The idea is the user will still need to

enable up but instead of using a generic password , they will use their

AD password.  I am not sure if , I need to script that information

in LDAP.conf /AD or somehow utilise the PAM module.   Still learning

the capabilities of LDAP and PAM.</font><font size=3> </font>

<br><font size=3 color=blue><u><br>

</u></font><font size=2 face="sans-serif">Linda</font>

<br>

<br>

<br><font size=1 color=#5f5f5f face="sans-serif">From:      

 </font><font size=1 face="sans-serif">Daniel Schmidt <daniel.schmidt@wyo.gov></font>

<br><font size=1 color=#5f5f5f face="sans-serif">To:      

 </font><font size=1 face="sans-serif">Linda Slater <lslater@yorku.ca>,

</font>

<br><font size=1 color=#5f5f5f face="sans-serif">Cc:      

 </font><font size=1 face="sans-serif">"tac_plus@shrubbery.net"

<tac_plus@shrubbery.net></font>

<br><font size=1 color=#5f5f5f face="sans-serif">Date:      

 </font><font size=1 face="sans-serif">2014/04/16 10:54 AM</font>

<br><font size=1 color=#5f5f5f face="sans-serif">Subject:    

   </font><font size=1 face="sans-serif">Re: [tac_plus]

TACPLUS AD Authentication</font>

<br>

<hr noshade>

<br>

<br>

<br><font size=3>I guess that would work if you wanted EVERY ad user to

have access.  Full access, at that. </font>

<br>

<br><font size=3>If you priv_15 everybody, they shouldn't need an enable

password.  Doesn't seem 2 work 4 the ASA though.  Give everybody

one generic enable password maybe.  </font>

<br><font size=3><br>

</font>

<br><font size=3>On Wed, Apr 16, 2014 at 8:47 AM, Linda Slater <</font><a href=mailto:lslater@yorku.ca target=_blank><font size=3 color=blue><u>lslater@yorku.ca</u></font></a><font size=3>>

wrote:</font>

<br><font size=3>Couple questions:<br>

<br>

I am using PAM_LDAP  to authenticate our users via AD.    The

additional<br>

requirements are now:<br>

<br>

<br>

<br>

1. No usernames in the Tac+ config file, I will define only groups and

use<br>

AD groupings to decide if that user can be allowed to access a network<br>

device.   Does anyone have any examples using this method?  Currently,

 I<br>

have the user name ......  login = PAM, listed in the tac...config

file.<br>

<br>

2. Each user that logins into the Network device, must use their AD<br>

password to gain enable access to the network device.   Is anyone

using<br>

this method to allow users enable access, given that the Tac+ enable<br>

password cannot be pointed to PAM?   Each user will have using their

own<br>

AD login credentials.<br>

<br>

<br>

<br>

-------------- next part --------------<br>

An HTML attachment was scrubbed...<br>

URL: <</font><a href=http://www.shrubbery.net/pipermail/tac_plus/attachments/20140416/89ba12d8/attachment.html target=_blank><font size=3 color=blue><u>http://www.shrubbery.net/pipermail/tac_plus/attachments/20140416/89ba12d8/attachment.html</u></font></a><font size=3>><br>

_______________________________________________<br>

tac_plus mailing list</font><font size=3 color=blue><u><br>

</u></font><a href=mailto:tac_plus@shrubbery.net><font size=3 color=blue><u>tac_plus@shrubbery.net</u></font></a><font size=3 color=blue><u><br>

</u></font><a href=http://www.shrubbery.net/mailman/listinfo/tac_plus target=_blank><font size=3 color=blue><u>http://www.shrubbery.net/mailman/listinfo/tac_plus</u></font></a>

<br>

<br><tt><font size=3><br>

E-Mail to and from me, in connection with the transaction <br>

of public business, is subject to the Wyoming Public Records <br>

Act and may be disclosed to third parties.<br>

<br>

</font></tt>

<br>