我们在我们的system-authconfiguration文件中使用pam_tally2,这对用户来说工作正常。 通过SCOM或Nervecenter等服务会导致locking。
RHEL5和RHEL6上的行为相同
这是/etc/pam.d/nervecenter
#%PAM-1.0 # Sample NerveCenter/RHEL6 PAM configuration # This PAM registration file avoids use of the deprecated pam_stack.so module. auth include system-auth account required pam_nologin.so account include system-auth 这是/etc/pam.d/system-auth
auth sufficient pam_centrifydc.so auth requisite pam_centrifydc.so deny account sufficient pam_centrifydc.so account requisite pam_centrifydc.so deny session required pam_centrifydc.so homedir password sufficient pam_centrifydc.so try_first_pass password requisite pam_centrifydc.so deny auth required pam_tally2.so deny=6 onerr=fail auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_deny.so account required pam_unix.so account sufficient pam_succeed_if.so uid < 500 quiet account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 minclass=3 minlen=8 lcredit=1 ucredit=1 dcredit=1 ocredit=1 difok=1 password sufficient pam_unix.so sha512 shadow try_first_pass use_authtok remember=8 password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so
login确实有效,但是它也会触发pam_tally计数器,直到遇到6个“false”login。
有没有任何pam-ninjas可以发现这个问题?
谢谢。
我发现了这个问题。
阅读一些错误和问题
需要为auth和帐户指定pam_tally2。 这将在login成功时重置其计数器。
将其更改为以下已解决该问题
auth required pam_tally2.so deny=6 onerr=fail account required pam_tally2.so
主要原因是SCOM尝试了不同的authentication方法。 有些人失败了,但成功了。 问题是计数器从不重置自己。