我已经在PAM中指定了一个AD安全组来限制哪些域用户可以login。 我还将AD用户的会话限制在这个组中。 这可以防止login的用户对组外的AD用户执行“su – ”操作。 Winbind uid映射configuration为使AD用户的UID> = 10000000。 这些在下面的PAMconfiguration中按预期工作。 将/etc/pam.d/system-auth auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so user ingroup AD_group debug auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_krb5.so use_first_pass auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so account required pam_access.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account […]
这是我的nsswitch.conf: passwd: files ldap sss shadow: files ldap sss group: files sss 当我重新启动authconfig时,它会从passwd,shadow和group中删除ldap。 这是我的authconfig。 authconfig –enableldap –enableldapauth –disablenis –enablecachecreds — disableldaptls –enablelocauthorize –ldapserver=127.0.0.1 –enableshadow –ldapbasedn="dc=wh,dc=local" –enablesssd –updateall 我在哪里去configuration,并确保当我重新启动authconfig ldap将留在nsswitch.conf?
我只编译了pam_tty_audit模块,因为我的Linux发行版不包含它通常的PAM模块。 我在/etc/common-session了configuration行,正如这个问题所build议的那样。 在我的/ var / log / messages中,每当有一些sudo ,crontab或login被执行时, login[18635]: pam_tty_audit(login:session): changed status from 0 to 1 但是,当我在审计守护进程日志上search事件时,我没有得到任何与在该用户会话上执行的命令相关的信息: sudo /sbin/ausearch -ts today —- time->Thu May 30 17:46:52 2013 type=DAEMON_START msg=audit(1369928812.430:3659): auditd start, ver=1.7.7 format=raw kernel=3.0.13-0.27-default auid=1010 pid=17873 subj=unconfined res=success —- time->Thu May 30 17:57:01 2013 type=DAEMON_END msg=audit(1369929421.259:3660): auditd normal halt, sending auid=1010 pid=18874 subj= res=success […]
我正在运行Debian Wheezy,并且需要花费大量时间才能应用/etc/security/access.conf。 我相信,一般来说PAM可能会有问题,因为我一直无法在limits.conf中进行更改。 我的系统设置为对LDAP服务器进行身份validation。 我想限制可以login到几个本地用户和几个LDAP组的成员的用户。 我已经将以下内容添加到/etc/pam.d/sshd和/etc/pam.d/login: account required pam_access.so 我的access.conf看起来像这样: + : local_user1 local_user2 ldap_group1 ldap_group2 : ALL – : ALL : ALL 我知道这可以通过sshd_config来完成,但现在已经成为一个原则问题。 正如我上面提到的,我想知道是否没有什么与PAM进行。
我正在尝试在Gentoo工作站上设置LDAP来对中央服务器进行身份validation。 但是,我遇到了一些问题,我真的希望你们能帮助我在这里:) 首先,LDAP服务器运行正常,因为其他机器可以连接到它。 其次,我遵循Gentoo wiki上的这个指南来设置客户端。 第三,我甚至尝试从其他工作站使用ldap / nss / pamconfiguration文件,但仍然无法login… ldapsearch有什么作用: ldapsearch -Z '(objectclass=*)' 我使用-Z作为TSL(这是我读的是),但-x也可以。 从我研究/谷歌search/尝试似乎错误是不是与LDAP而是与NSSconfiguration? 任何帮助将不胜感激 :) 这里是ldap.conf(稍微编辑) timelimit 120 bind_timelimit 120 idle_timelimit 3600 TLS_CACERTDIR /etc/openldap/cacerts URI ldaps://<sub>.<domain>.edu/ BASE dc=<sub>,dc=<domain>,dc=edu # Just assume that there are no supplemental groups for these named users nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman,nscd,gdm,polkituser, rtkit,pulse ssl start_tls TLS_CHECKPEER no TLS_CRLCHECK none TLS_REQCERT never […]
我最近configuration了pam_tty_audit,并且在logging信息的时候,它似乎直到用户注销之后才logging信息。 奇怪的是,它logging了一些生活的东西,例如,如果我运行“nano hello”,它会logging“纳米”没有参数,但是如果我注销并重新login,“nano hello”将显示在validation日志。 请看下面的例子,我正在谈论 16/03/14 07:01:05 113 0? 57纳米<用户>(用户注销,然后再次) 16/03/14 07:01:12 116 0? 57 bash ,,“纳米你好”,,,, pty tty审核是否正常?
我试图在虚拟机中设置一个vsftpd服务器,我所能得到的是一个authentication错误(530login不正确)。 由于我试图使用PAM来configuration虚拟用户,所以我想知道我的pamconfiguration是否正确。 不幸的是,vsftpd日志对于debugging这个并不有用。 为了能够找出问题是否来自我的朋友从别的地方服务。 我可以使用什么命令直接testing我的pam服务。 我在google( pamck和pam-client )上find了几个选项,但是他们没有一个可以用于我的操作系统(Ubuntu 14.04)。
我尝试使用以下命令在Suse 11 Sp1 Server 64位中添加pam_ldap模块: pam-config -a –ldap OS信息: node01:~ # file $(which pam-config) /usr/sbin/pam-config: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), for GNU/Linux 2.6.4, dynamically linked (uses shared libs), stripped node01:~ # uname -m x86_64 所以我认为命令pam-config很好使用这个path中的pam模块/lib64/security/pam_ldap.so 但不是这样,它看起来在/ lib / security /目录下,所以它寻找pam模块的32位版本 node01:~ # pam-config –add –ldap ERROR: module /lib/security/pam_ldap.so is not installed. pam-config: […]
我在Windows计算机RDP到RHEL 7服务器。 我现在希望能够使用我的Windows域凭据(通过SSH,最好是RDP,但不是必需的)login到该服务器。 以下是我到目前为止: realm list返回我的域信息 kinit [email protected]正常工作 ldapsearch -H ldap://srv-ad.mycompancy.local/ -Y GSSAPI -N -b "dc=mycompany,dc=local" "(sAMAccountName=SRV-DEV008$)"从LDAP返回有关该帐户的所有信息。 srv-dev008是我的RHEL服务器。 我像这样configuration我的PAM: Archlinux Wiki 但是,我无法使用我的域凭据login。 我没有直接访问AD,因为我不是我公司的pipe理员。 我应该可以在没有他们的帮助的情况下完成这个任务(这是为了学徒),他们所做的只是将SRV-DEV008机器账户添加到AD中。 我错过了什么? 我感谢任何帮助。
我正在尝试使用Augeas在默认的Ubuntu 14.04安装中configuration/etc/pam.d目录下的文件。 我的目标是find所有具有“nullok”或“nullok_secure”参数的节点,并从configuration中删除这些参数。 这将最终由Puppet强制执行,但我目前正在使用本地机器上的augtool进行configuration。 从我读过的所有东西,下面的expression式应该让我用'nullok和'nullok_secure'节点: augtool print /files/etc/pam.d/*/*/argument[../argument = 'nullok'] augtool print /files/etc/pam.d/*/*/argument[../argument = 'nullok_secure'] 或者,交替地: augtool print /files/etc/pam.d/*/*/argument[. = 'nullok'] augtool print /files/etc/pam.d/*/*/argument[. = 'nullok_secure'] 不幸的是,这些都没有让我到任何地方,我不能,为我的生活找出原因。 这是我知道有一个文件的augtool print (为augtool print删除了注释): /files/etc/pam.d/common-auth /files/etc/pam.d/common-auth/1 /files/etc/pam.d/common-auth/1/type = "auth" /files/etc/pam.d/common-auth/1/control = "[success=2 default=ignore]" /files/etc/pam.d/common-auth/1/module = "pam_unix.so" /files/etc/pam.d/common-auth/1/argument = "nullok_secure" /files/etc/pam.d/common-auth/2 /files/etc/pam.d/common-auth/2/type = "auth" /files/etc/pam.d/common-auth/2/control = "[success=1 default=ignore]" /files/etc/pam.d/common-auth/2/module […]