概要 我可以分别进行authentication吗? 公钥+ Google身份validation器 鸢尾花 指纹 内容 我知道有很多OpenSSH多重身份validation的文档,指南。 但是我正在制作一个支持Fingerprint,Irisauthentication的PAM模块(和一个应用程序)。 所以我想要那些authentication。 公钥+ Google身份validation 鸢尾花 指纹 所以如果用户没有支持Fingerprint或Iris的设备(或者设备不可信),我应该让用户使用公钥和Google Authenticator来validation用户身份。 但是,如果用户可以通过我制作的模块进行身份validation,则用户可以跳过公钥和Google身份validation。 我可以configurationOpenSSH来做到这一点吗? 注意。 PAM模块不是问题。 OpenSSH的configuration是。
这很奇怪 它正在工作。 今天不行 如果加上添加满足,我的门都是开放的,如果我否认所有,它否认一切。 我怎样才能select允许的和不允许的? satisfy any; allow 192.168.78.0/24; allow 192.168.81.0/24; allow 2001:470:1f1b:5b3::/64; allow 2001:470:1f1b:5b5::/64; allow 172.19.13.0/24; allow 192.168.17.0/24; allow 192.168.18.0/24; #deny all; auth_pam "Restricted"; auth_pam_service_name "nginx";
我用ngx_http_auth_pam_module构build了Nginx,并编辑了Nginxconfiguration,并编辑了/etc/pam.d/nginx 部分虚拟主机设置 location / { root /projects/admin; index index.html index.htm; auth_pam "Google Authenticator Code Required"; auth_pam_service_name "nginx"; } /etc/pam.d/nginx auth required pam_google_authenticator.so 为什么我无法通过Google身份validation器进行授权? 请帮帮我。
一个名为chcsouza的用户试图从service0主机访问service1主机,但收到消息: 连接closures了172.23.0.4 172.23.0.4是service1的IP 老用户可以ssh到这个主机。 新用户不能。 使用冗长,他得到了这个答复 chcsouza@service0:~$ ssh -vvv service1 OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013 debug1: Reading configuration data /etc/ssh/ssh_config debug1: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to service1 [172.23.0.4] port 22. debug1: Connection established. debug1: identity file /home/chcsouza/.ssh/identity type 0 debug1: identity file /home/chcsouza/.ssh/identity-cert type -1 debug3: Not a […]
我在sso服务器中创build了一个新用户,并尝试从用户端重置密码。 但它是要求我4次密码: new password retype new password new password retype new password 这里是我的/etc/pam/common-password文件 password requisite pam_pwquality.so retry=3 password requisite pam_passwdqc.so password [success=2 default=ignore] pam_unix.so obscure use_authtok try_first_pass sha512 password sufficient pam_sso.so use_authtok password requisite pam_deny.so password required pam_permit.so password optional pam_ecryptfs.so password optional pam_gnome_keyring.so
在我的问题上看到了很多类似的post,但到目前为止,没有一个真正有助于解决这个问题。 我有一堆旧的RHEL 5.5服务器,我需要对LDAP实例(OpenDJ)进行身份validation。 我可以执行一个手动ldapsearch工作正常: # /usr/bin/ldapsearch -D cn=#####,ou=users,dc=######,dc=com -w ###### -LLLx -H ldaps://lhcsrvprddir02.#######.com:1636 -b dc=#######,dc=com cn=#### dn: cn=####,ou=users,dc=##########,dc=com objectClass: organizationalPerson objectClass: top objectClass: person objectClass: shadowAccount objectClass: inetOrgPerson objectClass: posixAccount uid: ***** employeeType: ***** uidNumber: ***** gecos: ******** mail: ******.com homeDirectory: ******* gidNumber: ****** cn: ***** sn: ***** loginShell: /bin/lbash userPassword:*************** 我的LDAP服务器确认一个成功的连接/绑定,似乎没有抱怨基于证书的问题等。 [26/Jul/2017:10:06:29 +0100] CONNECT […]
情况: 我已经在Ubuntu 16.04上为SSHlogin激活了Google Authenticator 2FA,但在/etc/pam.d/sshd中将其设置为可选: auth required pam_google_authenticator.so nullok 我已经为可以从互联网login的帐户设置了2FA,但是对于限制从同一个子网访问的帐户,却没有设置帐户的2FA,因为有一些cronjobs正在运行,这些帐户必须从服务器传输到服务器。 这对于每个帐户来说都是非常好的,除了根目录以外,每个帐户只限于一个IP地址,因为生产服务器和备用服务器必须交换SSL密钥。 案例A:当我尝试用普通的用户帐号用SSH密钥login但没有2FA时:没问题。 案例B:当我尝试使用SSH密钥login但没有2FA时,我在/var/log/auth.log中得到这个错误: Aug 20 23:39:59 host01 sshd[28638]: fatal: Internal error: PAM auth succeeded when it should have failed 你的帮助将非常感激。
操作系统:CentOS 6.5 SSH v5.3 目标: 来自多个主机的PubKeyAuthentication允许根访问。 “group1”的用户可以使用他们提供的任何内容login:PubKey,Password,GSSAPI,KerberosPassword; 但是只允许从一个特定的IP:192.168.1.10到达 状态:根访问已经通过~/.ssh/authorized_keys多个from=""条目来定义,并且按照预期工作。 问题:group1的用户可以从192.168.1.10或其他地方到达; 或完全locking(使用较早的testingconfiguration)。 我尝试了几个变化,但无济于事。 /etc/pam.d/sshd外观如下所示: auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet 目前我在sshd_config : PermitRootLogin without-password PasswordAuthentication no KerberosAuthentication no GSSAPIAuthentication no UsePAM yes AllowGroups root group1 Match Group [email protected] KerberosAuthentication yes PasswordAuthentication yes GSSAPIAuthentication yes PubKeyAuthentication yes Match Group root PubKeyAuthentication […]
在以下情况下,如何正确debuggingshelllogin? 身份validation通过sssdconfiguration和krb5身份validation服务器进行处理。 在Ubuntu 16.04 LTS上使用相同的.conf文件login。 一旦有人在17.04使用它,使用除root之外的所有内容login将导致重启getty shell – / var / log / syslog states [email protected]: Service has no hold-off time, sheduling restert. Stopped Getty on tty2. Started Getty on tty2. 并在auth.log中注意到以下内容: pam_sss(login:account): Access denied for user <user>: 4 (System error) System error 执行login <user>结果 root@pctest# login <user> password: System error root@pctest# 使用sssctl config-check结果在16.04 LTS的工作configuration中没有错误。 […]
我有两个用户帐户(U1,U2),其身份validation模式等保存在数据库中。 这些账户可以被authentication的可能模式是: 空密码 自定义密码检查程序 U1和U2可以使用这两种authentication模式中的任意一种进行configuration。 从数据库中读取每个用户的属性后,我想生成一个工作/etc/pam.d/login文件,以允许任何用户login。 当两个用户都被允许使用空密码login时,我已经validation了下面的最小configuration是足够的: auth [success=1 default=ignore] pam_unix.so nullok auth requisite pam_deny.so auth required pam_permit.so 在剩余的两个场景中,我正在寻找一组允许两个用户login的pamconfiguration规则。 如果两个用户都需要使用自定义程序进行身份validation 如果一个用户使用自定义validation模块,而另一个使用空密码login 对于1)我/etc/pam.d/login添加到/etc/pam.d/login auth requisite pam_exec.so expose_authtok /usr/bin/custom-pam.sh 其中custom-pam.sh是一个简单的脚本,以0(为简单起见)退出,从而允许指定的用户login。 但是,这并不像预期的那样工作。 #!/bin/sh echo "Welcome $PAM_USER" exit 0 对于2) ,有没有办法指定pam_exec.so只针对指定的用户,并让pam_unix.so处理其他用户的login?