我一直在阅读所有可以在PAM上find的东西(例如http://wpollock.com/AUnix2/PAM-Help.htm ),但是我仍然对高级选项的工作原理感到困惑。 例如,每个参考文献都这样说: Each of the four control-flag keywords (required, requisite, sufficient, and optional) have an equivalent expression in terms of the […] syntax: required [success=ok new_authtok_reqd=ok ignore=ignore default=bad] 我的理解是,模块可以返回各种令牌,并且与configuration文件中描述了与每个令牌关联的操作。 基于这种理解,是什么 new_authtok_reqd=ok 必须处理所需的控制标志? 这是什么意思/目的 ignore=ignore ? 仅这一点: success=ok 是我认为会匹配所需的行为,但确实如此 default=bad 意思是如果模块返回任何其他的动作令牌,模块会失败? 是=动作=价值标记成功=确定否定违规=坏 ,反之亦然? 哪一个需要优先? 从我读过的任何东西都不清楚。 更一般地说,假设我有类似的东西 [success=done default=die] 如果模块返回成功和另一个令牌会发生什么? 最后,我也找不到这个问题的答案,可以把每个值都ok, done, bad, die, ignore, reset, […]
是否有可能使用PAM(或NIS)身份validation的MySQL。 我想允许unix XXX组中的所有用户能够连接到mysql并执行他们想要的任何操作。
我想将/ usr / bin / w中的FROM字段设置为不同于我的sshd对用户来自哪里的意见的不同string。 这主要是因为入站ssh通常通过在主中继(例如端口80 HTTP代理或基于浏览器的ssh网关),所以在这种情况下,w列会给localhost。 使用tor注释列出入站tor连接也不错。 有没有办法做到这一点? (例如在PAM的某个地方?)
我发现吨文章如何启用密码的复杂性,有人可以指导我如何禁用它? (oracle linux) 这是我的系统validation #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_deny.so account required pam_unix.so account sufficient pam_succeed_if.so uid < 500 quiet account required pam_permit.so password requisite […]
我们在我们的system-authconfiguration文件中使用pam_tally2,这对用户来说工作正常。 通过SCOM或Nervecenter等服务会导致locking。 RHEL5和RHEL6上的行为相同 这是/etc/pam.d/nervecenter #%PAM-1.0 # Sample NerveCenter/RHEL6 PAM configuration # This PAM registration file avoids use of the deprecated pam_stack.so module. auth include system-auth account required pam_nologin.so account include system-auth 这是/etc/pam.d/system-auth auth sufficient pam_centrifydc.so auth requisite pam_centrifydc.so deny account sufficient pam_centrifydc.so account requisite pam_centrifydc.so deny session required pam_centrifydc.so homedir password sufficient pam_centrifydc.so try_first_pass password […]
我们已经使用kerberos,pam和winbindd集成了一个linux瘦客户机和AD。 我们正在使用pam_mkhomedir来制作主目录,而且工作正常。 但是当AD用户在用户名中使用混合或大写时,login脚本不会运行。 AD不区分大小写,不关心用户是否使用“名称”或“名称”。 所以当用户“鲍勃”login与“鲍勃”时,他得到家里目录/家庭/鲍勃,但用户名鲍勃,在Linux不是一样的。 我什么用户名总是被转换成小写,是可能的? # Pam file # auth sufficient pam_unix.so nullok try_first_pass auth sufficient pam_krb5.so use_first_pass auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so account required pam_access.so account sufficient pam_unix.so broken_shadow debug account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 100 quiet account [default=bad success=ok user_unknown=ignore] pam_winbind.so account required pam_permit.so password sufficient pam_unix.so […]
我在不同的端口上设置了多个打开的ssh守护进程,并希望让它们使用不同的PAMconfiguration文件。 那可能吗? 据我了解,PAM确定守护进程二进制文件中的configuration文件名 – 所以我需要重新编译我的sshd,让它使用其他PAMconfiguration文件?!
我听说你可以使用pam_exec来调用外部脚本,并让外部脚本执行实际的authentication。 任何人都可以提供一个这样做的例子吗?
Jun 26 15:58:52 hostme su: pam_unix(su:session): session opened for user {USER} by root(uid=0) Jun 26 15:59:02 hostme su: pam_unix(su:session): session opened for user {USER} by root(uid=0) Jun 26 15:59:37 hostme su: pam_unix(su:session): session opened for user {USER} by root(uid=0) 这是有什么担心的吗? 这是否意味着有人有壳?
我想configurationpam模块以使用平面文件进行身份validation。 基本上我需要像pam_unix一样的东西,只是有可能使用不同的文件(而不是/etc/passwd和/etc/shadow )。 有没有现成的pam模块提供这个function?