在我的服务器上,我的系统用户已经configuration了厨师,并且不希望将任何其他用户暴露给这些机器。 然而,我想利用pam作为我的monit仪表板的身份validation后端。 我需要设置libnss-ldapd来使pam_ldap工作吗? 或者我想这是错误的方式。 如果/etc/pam.d/common-*不使用pam_ldap设置nss是否真的很重要?
我想要允许这两种身份validationtypes:公钥+谷歌authenticator 或密码+谷歌authenticator。 我在我的sshd_config有以下内容: AuthenticationMethods publickey,keyboard-interactive:pam password,keyboard-interactive:pam UsePAM yes ChallengeResponseAuthentication yes PubkeyAuthentication yes PasswordAuthentication yes 而在/etc/pam.d/ssh我没有注释 #@include common-auth and added auth required pam_google_authenticator.so 在文件的末尾。 键+令牌路由仍然有效,但由于某种原因,我的密码总是被“拒绝访问”消息拒绝。 我发现只要将UsePAM设置为“是”,密码validation就会失败。 不知道为什么? /etc/pam.d/sshd的内容:(这个文件对我来说似乎很长,但这只是Ubuntu的默认值,也许我可以把它缩短一下?) # PAM configuration for the Secure Shell service # Standard Un*x authentication. #@include common-auth # Disallow non-root logins when /etc/nologin exists. account required pam_nologin.so # Uncomment and edit […]
我如何注释掉或删除/etc/pam.d/sshd中的“@include common-auth”行? 默认的内容是: … #标准的Un * xauthentication。 @include common-auth … 镜头文件不是所有有用的。 我是Augeas的新手,不太清楚pathexpression式是如何工作的。 我试图用augtool来做这件事,作为一个Dockerfile的一部分,具体的。 我天真地尝试了下面的命令,但它不起作用: augtool –autosave 'rm /files/etc/pam.d/sshd/@include common-auth' 我用sed做了这个,下面的工作对我来说是这样的: sed -i 's/@include common-auth/#@include common-auth/' /etc/pam.d/sshd 但是我仍然试图找出是否有方法来使用augtool,因为我使用augtool在我的Dockerfile中进行所有其他configuration更改,并且一致性会很好。
为SSH设置密钥authentication后,我有以下错误: ssh remoteHost System is going down. Connection to remoteHostAddress closed by remote host. Connection to remoteHostAddress closed. ssh -vvv结果: ssh -vvv prod08 OpenSSH_7.2p2, LibreSSL 2.4.1 debug1: Reading configuration data /Users/adriendauchez/.ssh/config debug1: /Users/adriendauchez/.ssh/config line 1: Applying options for prod08 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 20: Applying options for * debug2: resolving "prod08.finansemble.fr" […]
我试图用logging器和邮件通知logging所有的SSH连接。 我遵循这个: #179889 #!/bin/sh sender="xxx" recepient="xxx" if [ "$PAM_TYPE" != "close_session" ]; then host="`hostname`" subject="SSH Login: $PAM_USER@$host from $PAM_RUSER@$PAM_RHOST" # Message to send, eg the current environment variables. message="`env`" echo "$message" | mail -r "$sender" -s "$subject" "$recepient" # Logger logger -t ssh-wrapper $PAM_RHOST@$host from $PAM_RUSER@$PAM_RHOST fi 问题是$ PAM_ R USER是空的。 如何设置这个envvariables?
我正在为我的校园networking开发tacacs +服务器,我一直在想如何设置一个tacacs +服务器来与PAM进行双向身份validation。 我做了相当多的search,发现了一些有用的信息,但是我没有find一个清晰的“路线图”,很多步骤似乎模糊不清。 我现在有一个Ubuntu tacacs +testing平台,没有configuration交换机或路由器。 有没有人做过这样的事情? 我在redhat电子邮件链中find了一个比较好的指南: https : //www.redhat.com/archives/pam-list/2014-March/msg00008.html 我不知道下一步该怎么走,或者这个系统如何工作。 有没有我可以遵循的例子或者一些build议? 我感觉有点像我现在处于试错模式。 编辑:具体来说,我现在正盯着/etc/pam.d/(tac_plus?示例PAMconfiguration文件,无论它叫什么),我不确定究竟需要去那里。 这是Google的身份validation器或tacacs +的东西? 我的例子看起来像下面发布的代码,但我不知道这里是什么: auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet […]
我们有 auth optional pam_krb5.so try_first_pass 在 /etc/pam.d/password-auth-ac 和 /etc/pam.d/system-auth-ac 但是当我成功login后,我得到一个klist klist: No credentials cache found (filename: /tmp/nnnnn) 这可能是什么原因? 身份validation和会话堆栈: auth required pam_env.so auth sufficient pam_fprintd.so auth required pam_tally2.so deny=12 unlock_time=3600 auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth optional pam_krb5.so try_first_pass auth sufficient pam_sss.so forward_pass auth required pam_deny.so session optional […]
我运行一个小型的Samba 4.4服务器,并且希望保持Samba密码数据库与Unix密码数据库同步。 当用户使用传统的Unix passwd程序更改密码时,我想要更新Samba密码。 我不认为我想通过configuration机器使用winbind的复杂性。 看来你曾经可以使用这个使用pam_smbpass模块,我发现的大部分文档引用了这个。 但是,看起来在Samba 4.4中这个提交消息被删除了: pam_smbpass:删除这个PAM模块 这个pam模块导致GPLv3,线程不安全的Samba代码被直接加载到许多系统服务的地址空间中。 这个代码并不期望在这种情况下运行,而在使用Samba时,而不是系统密码文件是一个令人钦佩的目标,这需要通过进程间通信完成,比如pam_winbind完成。 pam_winbind不是完全替代,因为用于保持Samba密码与系统密码保持一致的迁移function不存在,但是除此之外可以提供基本上相同的服务。 安德鲁·巴特利特 签名:Andrew Bartlett审核人:Jeremy Allison 我相信我想要的function是“用于使Samba密码保持最新与系统密码的迁移function”,这是pam_winbind显然不提供的一件事情。 还有什么其他简单的选项可以用普通的Unix工具pipe理Samba密码? 这个服务器运行FreeBSD 10.3和Samba 4.4,但是我欢迎任何build议,即使那些不是FreeBSD特定的。
我想知道是否有一种方法来获得一个SSH服务器,以允许与用户交互,如请求访问? 我发现了一些允许2FA的pam插件,但是现在我找不到与访问请求相关的任何东西。 拥有2FA的pam插件意味着至less有限的交互是可能的,但是如何让用户请求访问呢? 你知道关于这个特定主题的任何插件或开发工作吗?
我使用Ubuntu 8.04安装pure-ftpd aptitude install pure-ftpd 什么是添加用户的步骤? 我是纯粹的ftpd和PAM身份validation的新手,但是我遵循pure-ftpd文档来完成pure-pw useradd,然后重新启动pure-ftpd,但没有骰子。 尝试连接ftp客户端时,仍然显示“身份validation失败”。 我validation了添加的用户有一个/etc/pure-ftpd/pure-ftpd.passwd条目。 那么这个难题有哪些缺失?