我有一个Ubuntu 16.04.3服务器,我们使用Radiusauthentication服务器为我们的VPN服务器提供Google Authenticator 2FA。 这一切工作正常,直到我怀疑昨天更新。
现在,每当我尝试login时,login失败。 在/var/log/auth.log我看到GA部分是好的,这是freeradius部分,似乎是失败的:
root@radius:~# radtest [email protected] Password989240 localhost 18120 testing123 Sending Access-Request of id 203 to 127.0.0.1 port 1812 User-Name = "[email protected]" User-Password = "Password989240" NAS-IP-Address = 127.0.1.1 NAS-Port = 18120 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=203, length=20
然后日志包含:
Sep 8 10:46:06 radius radiusd(pam_google_authenticator)[2473]: Accepted google_authenticator for [email protected] Sep 8 10:46:06 radius freeradius[2473]: pam_sss(radiusd:account): Access denied for user [email protected]: 6 (Permission denied)
我已经testing使用kinit ,似乎工作,所以我猜LDAP部分工作:
root@radius:~# kinit testing root@radius:~# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: [email protected] Valid starting Expires Service principal 08/09/17 10:28:33 08/09/17 20:28:33 krbtgt/[email protected] renew until 09/09/17 10:28:28
我可以成为这个用户:
root@radius:~# su – testing testing@radius:~$
我不确定在哪里查看可能发生了什么变化。