我有一个用encryption的家庭文件夹的用户login自动挂载与pam_ecryptfs模块。 我还想使用来自luserconf条目的本地configuration文件自动挂载几个文件夹作为tmpfs ,但似乎pam_mount在该点上还不能访问pam_mount 。 有没有另外一种方法来做到这一点?
我有一个用例,默认情况下,所有用户都在远程挂载的主目录中工作。 但是,有时候他们更喜欢在一台或多台机器上安装本地家庭,例如,由于networking太慢,数据量太大等原因。 因此,我想build立以下几点: 用户通过LDAP分发 默认情况下,用户获得他们的远程主文件夹,例如/mnt/smb/$SERVER/$USER 如果/home/$USER的主文件夹存在(符号链接或文件夹),应该select这个文件夹并将其设置为$HOME -env等。 如果需要创build一个主目录(因为它指向/home/$USER ),它应该使用ecryptfs创build 简而言之:不要在全局范围内定义用户的主目录,而要在具有默认位置的机器级别上定义。 当前状态: validation等OpenLDAP已启动并正在运行。 homeDirectory在LDAP中设置为/home/$USER 远程文件夹使用带有硬编码服务器的pam_mount挂载到/smb/$USER 如果用户想在机器上使用他的远程文件夹,他将/home/$USER符号链接到/smb/$USER 。 另一方面,如果用户需要本地home文件夹,则会手动创build一个空目录(或/etc/skel的副本)。 去做: 摆脱符号链接(如果可能的话) 可以指定主文件夹所在的dynamic远程服务器 如果没有本地文件夹或无法安装远程文件夹,则创build一个encryption的主文件夹(ecryptfs) 当试图在pam_script的帮助下实现时,我碰到了几个障碍: 脚本以root身份运行,因此只需导出一个新的$HOMEvariables不会产生任何影响 ecryptfs-utils是可怕的logging和有很多缺点。 没有可能手动指定用户的主目录。 Afaik是从远程文件夹的挂载点而不是/home/$USER getent获取的
在两个AD域之间成功构build了一个单向信任之后,我们无法在可信域中查找/识别用户。 这是我们的用例。 AD1:dom1.com(Win2k8 R2) – 单向传出信任到AD2 AD2:dom2.com(Win2kr R2) – 来自AD1的单向传入信任 Linux1:AD1 / dom1.com的成员 可以查找User1:Linux1> $ id AD1 \ User1 – 确定 无法查找User2 Linux1> $ id AD2 \ User2 – 不行。 PAM和SSSD在AD1域内工作正常。 我尝试在sssd.conf(例如[domain / AD2])中添加一个域项,但根本没有帮助。 根据User1的成功查找,Kerberos正常工作。 感谢您的投入,以解决我们的问题。 /etc/sssd/sssd.conf [sssd] config_file_version = 2 debug_level = 0 domains = dom1.com, dom2.com services = nss, pam [domain/dom1.com] id_provider = […]
我试图设置我的系统在10天后locking非活动用户。 我正在使用CentOS 6.x,看RHEL手册,这是我发现: To lock out an account after 10 days of inactivity, add, as root, the following line to the auth section of the /etc/pam.d/login file: auth required pam_lastlog.so inactive=10 所以,这是我的/etc/pam.d/login: #%PAM-1.0 auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so auth include system-auth auth required pam_lastlog.so inactive=10 account required pam_nologin.so account include system-auth password include system-auth […]
我有pam_radius设置和它的工作(centos6,pam_radius:1.4.0-2.el6),我可以通过使用ssh的radius服务器进行身份validation。 我试图完成的是,当服务器不能回退到本地帐户。 这两个密码是不同的(本地与AD),因为AD具有更严格的密码更改策略。 我尝试了一些东西:/etc/pam.d/sshd validation足够的pam_radius_auth.sodebugging auth包含password-auth 现在,只要radius服务器(如“/etc/pam_radius.conf”中定义的)不可用(在pam_radius.conf中使用了错误的IP),它就会工作。 挑战从radius服务器实际可用时开始,我可以使用radius和本地身份validation凭证login。 我有两个问题。 1.我误解了(PAM)模块故障,失败也可能是validation失败,如错误的密码,或者当用户无效或在AD服务器上。 什么是模块故障? 2.有没有办法像我想要设置一样? 即只有当radius服务器连接失败时才回退到本地authentication? 或者,也许正常的方法是没有本地密码,并使用不是AD帐户的后备帐户,以便当所有的东西都失败时,可以使用这个帐户。 那么问题就变成了如何在半径可用时防止使用这个帐户的人。
我想这个虚拟用户使用一个定义的本地用户。 这个本地用户是组的成员apache(www数据为debian用户,我在这里使用一个centos7 )和ftp useradd ftpuser -d /var/www -g apache -G ftp usermod -s /sbin/nologin ftpuser 我从文件/etc/vsftpd/vsftpd.conf中更改 guest_username = FTP 至 guest_username =名为ftpuser 由于虚拟用户密码检查通过,但不是本地用户: Mar 31 23:11:29 vps263033 vsftpd: pam_unix(vsftpd:auth): check pass; user unknown Mar 31 23:11:29 vps263033 vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=xxx rhost=localhost Mar 31 23:11:29 vps263033 vsftpd: pam_userdb(vsftpd:auth): user 'xxx' […]
我在用户主目录中设置默认文件时遇到了一些麻烦。 该设置是一个Centos 7,我已经成功地让它join公司的领域,并通过我们的广告authentication。 我可以使用我的域用户名和密码login。 不过,我在第一次login时遇到了这个错误: Creating home directory for boonhean. Last login: Thu Jun 16 13:23:10 2016 Could not chdir to home directory /u/boonhean: No such file or directory 但是,该文件夹确实已经创build,我可以cd到它。 后续login也没有问题。 另外,我注意到我的/ etc / skel中的文件在创build过程中没有被复制到文件夹中。 它看起来不像一个权限问题,因为我可以从那里复制文件,当我作为用户login。 这是我在/etc/pam.d/system-auth中的内容 session optional pam_oddjob_mkhomedir.so skel=/etc/skel umask=0077 我GOOGLE了两天,但仍然无法find解决scheme。 谁能发现我错过了什么? 我可以手动将文件复制到/ etc / skel中,但是如果我必须要求所有的域用户这样做,那么这将很困难。 谢谢
在通过推荐方法(从DVD引导)升级到SLES 11.4后,通过LDAP进行的身份validation已停止运行。 不幸的是,对于SLES,我不能给你任何有意义的日志输出,因为PAM和ldap客户端都不会给你任何提示,而pam_debug在SLES上不可用。 我们怀疑归结为需要userfilter inetOrgPerson。 当然,我们在/etc/ldap.conf中设置了这个filter。 它在10.4工作得很好,但现在你只能得到“无效的密码”。 使用tcpdump我可以确定,与10.4不同,ldap客户端现在首先使用筛选器inetOrgPerson(它工作并返回结果)查询服务器,但随后(!)使用filterposixAccount查询服务器。 现在,这最后一个不起作用,因为LDAP服务器(IBM Tivoli Directory Server)不使用此属性。 由于现在使用不正确的用户filter进行密码查询 – 没有密码对LDAP进行检查(从我可以告诉),因此login失败。 有没有办法强制LDAP客户端坚持使用configuration的userfilter(inetOrgPerson)而不是切换到(硬编码?)不正确的查询有关密码和shell? 事情是,我们不使用密码通过sshlogin系统,所以我们只需要这个PAM + LDAP就可以工作,所以应用程序可以再次检查用户密码(应用程序没有自己的LDAP支持)。 因此,我们不需要LDAP中的用户shell和任何其他通常分配给posixAccount的条目。 据我所知 – 修改生产LDAP服务器不是一个选项。 FWIWtesting这个方法的方法是将ssh放入方框(带有pubkey),然后尝试将su取入我们自己的用户以提供密码。 / var / log / messages只会说“失败su …”而没有任何进一步的细节
我有一个脚本,可以通过php-fpm同时启动n次。 php-fpm池被设置为在某个用户名下运行,我想限制这个用户名可以启动的进程数量。 ps aux|grep fpm root 7165 0.0 0.0 849288 27872 ? Ss 05:47 0:00 php-fpm: master process (/etc/php5/fpm/php-fpm.conf) myuser 7167 4.6 0.1 872512 77148 ? S 05:47 0:31 php-fpm: pool myapp #pool I want to limit www-data 7172 0.2 0.1 863248 62904 ? S 05:47 0:01 php-fpm: pool www #default pool 这是通过php-fpm启动的过程如下所示: 37192 myuser […]
我有一个系统,目前使用LDAP / AD服务器通过pam和pam_ldap模块进行身份validation。 为了使用此服务器进行身份validation,pam_ldap需要一个将LDAP上的数据公开给我的帐户。 帐户数据通常通过configuration的binddn和bindpw字段填充。 据我所知,pam模块使用binddn和bindpwlogin,然后为用户执行search,然后绑定每个能够login的用户。 LDAP / AD服务器的pipe理员希望我使用加载到我的系统上的Kerberos密钥表,而不是提供binddn和bindpw。 所以我的问题是: 我怎样才能configuration帕姆这种情况? 我能够获得ldapsearch命令与kerberos证书一起使用,但是pam_ldap 文档声明初始绑定仅支持简单的身份validation。 这意味着服务器需要提供binddn和bindpw(他们想要停止使用),或者允许匿名绑定,这是他们绝对不想允许的。 我发现这个页面包含一个标题为“为LDAP绑定configurationKerberos身份validation”的部分,这听起来正是我想要做的,但我一直无法弄清楚如何将其应用于我的情况。 任何帮助,方向或commiserating将不胜感激。 这是我可以find我的问题已经在这里最接近的事情: 链接 。