我有一个小型的服务器,我希望能够使用SSHlogin2种方法: 公钥 密码,然后用Python制作一个PAM 我成功安装了libpam-python ,并将这一行添加到/etc/pam.d/sshd : auth requisite /lib/x86_64-linux-gnu/security/pam_python.so /lib/x86_64-linux-gnu/security/my_pam.py 举个例子,假设我的python pam正常工作,只是要求input另一个密码。 以下是我的/etc/ssh/sshd_config中的相关参数: # PAM UsePAM yes ChallengeResponseAuthentication yes # Regular password PasswordAuthentication yes PermitEmptyPasswords no # Authentication Methods # Either an authorised public key, or the password + another one (python pam). AuthenticationMethods publickey password,keyboard-interactive:pam 不幸的是,这不起作用: # I am not using an authorized public […]
我正尝试使用Debian jessy中的ldap将SLA11服务器设置为pamauthentication,但没有成功。 我总是收到一个错误的凭据返回althoug它可以成功地绑定我们的ldapsearch 。 以下是我执行的情况下的ldap日志输出: ldapsearch -D uid=testuser,ou=people,dc=our-domain,dc=de -W -H ldap://192.168.100.11 'uid=testuser' slapd[4628]: conn=1072 fd=18 ACCEPT from IP=192.168.100.12:59539 (IP=0.0.0.0:389) slapd[4628]: conn=1072 op=0 BIND dn="uid=testuser,ou=people,dc=our-domain,dc=de" method=128 slapd[4628]: conn=1072 op=0 BIND dn="uid=testuser,ou=people,dc=our-domain,dc=de" mech=SIMPLE ssf=0 slapd[4628]: conn=1072 op=0 RESULT tag=97 err=0 text= slapd[4628]: conn=1072 op=1 SRCH base="ou=people,dc=our-domain,dc=de" scope=2 deref=0 filter="(uid=testuser)" slapd[4628]: conn=1072 op=1 SEARCH RESULT tag=101 err=0 nentries=1 […]
我最近一直在试图build立一个新的Ubuntu服务器环境,我们想要build立一个类似于旧版Windows AD的单一login系统。 在这种情况下,您将使用kerberos用户名和密码进行SSH连接,并像往常一样对其进行身份validation,并且如果您还没有本地主目录,并且可以以普通本地用户身份进行操作,则会创build本地主目录。 在这种情况下,我们所有的服务器都是Ubuntu Server 16.04 / 16.10,这是不能改变的。 我一直跟着O'Reilly的书“Kerberos:权威指南”学习,从这里我设法正确地设置了我的KDC和DNS,这个问题似乎是正确的。我试图build立一个客户端,我把krb5.conf文件戳到正确的位置,确保我有用户主体,但是每当我尝试login时,它都会挂起一秒钟,然后authentication失败,出现错误: Decrypt integrity check failed在auth.log 在这种情况下,我使用PAM模块pam_krb5.so和pam_mkhomedir.so创build一个新的用户主目录。 这些是使用Ubuntu的pam-auth-update实用程序设置的。 我可以得到kerberos门票,如果我从客户机手动kinit ,但login似乎完全失败。 一段时间以来,我们试图评估FreeIPA,但是对于我们来说,这似乎在Ubuntu上看起来非常糟糕,无法挽回,看起来似乎比它更值钱。 我真的不知道我在这里错过了什么,每当我试图find关于这个主题的信息时,都觉得我错过了一些预期的关键步骤,但似乎没有人告诉我? 谢谢!
MySQL服务器已经configuration好,可以从客户端远程访问。 客户端是debian,并安装了“libpam-mysql”。 除了下面的设置之外,还应该为本地用户login设置哪些其他设置? '/etc/pam-mysql.conf'configuration: users.host = 2002:123::1 users.database = PAM users.db_user = root users.db_passwd = P@ssworD users.table = users users.user_column = username users.password_column = password users.password_crypt = 0 '/etc/pam.conf'configuration: pam auth required pam_mysql.so user=root passwd=P@ssworD ho st=2002:123::1 db=PAM table=users usercolumn=username passwdcolumn=password crypt=0 '/etc/pam.d/common-auth'configuration: auth [success=2 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_mysql.so
我们使用GSSAPI使用ssh访问我们的Debian Linux服务器。 服务器运行OpenSSH并利用pam-stack。 特别是,他们使用pam_afs_session 。 每过一段时间我都会在系统日志中看到以下消息: sshd[31799]: pam_afs_session(sshd:session): PAG apparently lost, recreating 这个消息的可能原因是什么?
背景: 我想为使用Nginx托pipe的网站部分实现HTTPauthentication,但允许用户使用他们用于samba / shelllogin的相同密码,类似于IIS上的Windows身份validation。 题: ngx_http_auth_pam_module似乎做我想做的,但是在自述文件中的这一行让我害怕: 您需要让Web服务器用户读取/ etc / shadow文件 我知道影子保存的是密码哈希而不是密码,但是由于这些哈希和关联的用户名可能会暴露给networking,所以这仍然看起来像一个暴露给www数据组的“坏东西”。 这是一个有效的恐惧,还是我只是偏执? 在旁边: 随着一点挖掘,似乎PAMvalidation应该是可行的,而不能访问阴影,所以我不知道为什么插件是这样实现的… …
我有一个可用的Fedora 9系统,通过PAM – > krb5 – > Active Directory对用户进行身份validation。 我将它迁移到Fedora 14,一切正常,但工作得很好:-)在Fedora 9上,如果一个Linux用户更新了他们的密码,它就不会传播到他们的Active Directory帐户。 在Fedora 14上,它正在更改他们的A / D密码。 问题是我不希望A / D被更新。 这是我的password-auth-ac : auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < […]
我的debian盒不断获取这些日志,logcheck不断给我发电子邮件。 CRON [31443]:pam_limits(cron:session):未知的内核rlimit'最大实时超时时间'被忽略 sudo:pam_limits(sudo:session):未知的内核rlimit'最大实时超时'被忽略 我发现这个debian的bug报告似乎指出了原因。 但是我不知道该怎么办才能摆脱它。 我什至不知道什么是帕姆… 任何想法?
我有一个运行在PHP中使用MySQL作为数据库运行的Web应用程序。 我试图让特定的用户通过SSH访问Linux系统来执行简单的命令行任务。 由于我已经有一个数据库准备好填充用户名/密码,我想用这个数据为用户login。我使用PHP函数password_verify和在某些情况下一次性密码,所以我无法使用MySQL直接进行authentication。 我想编写一个PHP脚本来login用户,如下所示: php login.php username password 只是返回1或0,或者主目录,权限等 我已经阅读了很多关于PAM和PHP的知识,但是这是关于在PHP中使用PAM的,我想用相反的方式。 为此目的使用LDAP服务器似乎对我来说有点矫枉过正。 我无法find我需要的东西。 有人能给我一个正确的方向推动吗?
我正在运行一台Ubuntu 12机器,最近一直在努力保护它。 我从这个指南做了所有的改变。 我没有运行Linode,但是我使用这些作为设置防火墙等的起点。 一切顺利,我一直在使用机器一段时间。 我试图通过passwd -l命令来locking一些用户的账户,这是成功的。 但是,当我尝试添加新用户或更改密码时,我遇到了最奇怪的错误: myuser@mymachine:~$ passwd Old Password: passwd: Authentication token manipulation error passwd: password unchanged 或者,添加新用户时: myuser@mymachine:~$ sudo adduser mynewuser Adding user `mynewuser' … Adding new group `mynewuser' (1011) … Adding new user `mynewuser' (1002) with group `mynewuser' … Creating home directory `/home/mynewuser' … Copying files from `/etc/skel' … passwd: […]