如果在pam_cracklib和login.defs中为最小密码长度设置了不同的参数。 哪个优先? 任何有关PAM的好文档/书籍?
我有一个运行Debian Squeeze的Postfix邮件服务器。 saslauthd支持安全SMTP的SASLauthentication,它依赖于依赖于winbind的pam。 这种模式似乎每隔几个星期就会重复一次: 最初,/var/log/auth.log中没有错误 – postfix SMTP正常运行 一周或更长时间后,日志中会出现错误: 12月5日15:45:22 myhostname saslauthd [32586]:PAM无法启动(/lib/security/pam_winbind.so):/lib/security/pam_winbind.so:无法打开共享目标文件:打开的文件过多Dec 5 15 :45:22 myhostname saslauthd [32586]:PAM添加错误的模块:/lib/security/pam_winbind.so 12月5日15:45:22 myhostname saslauthd [32586]:PAM无法dlopen(/lib/security/pam_deny.so):/lib/security/pam_deny.so:无法打开共享对象文件:打开的文件过多 十二月5 15:45:22 myhostname saslauthd [32586]:PAM添加错误的模块:/lib/security/pam_deny.so Dec 5 15:45:22 myhostname saslauthd [32586]:PAM _pam_load_conf_file:无法打开/etc/pam.d/common-auth Dec 5 15:45:22 myhostname saslauthd [32586]:PAM error loading(null) 十二月5 15:45:22 myhostname saslauthd [32586]:PAM _pam_init_handlers:错误读取/etc/pam.d/other Dec 5 15:45:22 myhostname saslauthd [32586]:PAM […]
我必须对DAV SVN使用PAMauthentication,但是当一切按mod_auth_pam文档中的规定进行configuration时,authentication不起作用。 经过一番研究,我意识到,为了这个工作,httpd应该在root用户(我不喜欢也不会实现)下运行,或者apache用户(在默认情况下运行httpd)应该有权限读/ etc / shadow文件。 所以我想问一个问题: 从安全angular度给Apache用户一个明智的决定? 如果回答第一个问题是“是”,那么这样做的正确方法是什么? 现在我已经做了以下: groupadd shadow usermod -G shadow apache chmod g+r /etc/shadow 另一个我可以想出的方法是使用acl: setfacl -mu:apache:r /etc/shadow 注意:操作系统是Fedora 14 x86_64(内核:2.6.35.11) httpd v2.2.17 mod_auth_pam v1.1.1
我为我的Linux机器configuration了LDAP身份validation。 LDAP服务器是Novell eDirectory。 LDAP用户可以login到机器。 但是,当我发出passwd命令它要求LDAP密码,然后要求给我新的密码。 之后,我收到一条消息,说所有的身份validation令牌都成功更新。 但是,当我尝试login到新的密码到机器不允许,但是当我用旧的密码尝试让我的权利。 即使eDirectory的密码也没有改变? 我在做什么错
我目前使用ActiveDirectory在我的Ubuntu 10.04服务器上使用名为Centrify Express的工具进行身份validation。 Centrify具有在/etc/pam.d/common-auth中configuration的自定义.so文件。 我想为SFTP用户(不是SSHlogin)进行正常的LDAPauthentication(绕过centrify)。 我如何configuration/etc/pam.d/sshd尝试对SFTPlogin进行LDAP身份validation,而不是SSHlogin? 这个想法是,我的SFTP OU将允许用户下载和上传文件,但他们将无法获得一个壳。
我遇到了一个问题,即最近创build的用户无法login,即使他们已被添加到正确的组。 查看错误日志时,我收到这些错误: smb_pam_accountcheck: PAM: Account Validation Failed – Rejecting User name_of_the_user! [2012/05/25 13:32:08.435697, 0] auth/pampass.c:586(smb_pam_account) smb_pam_account: PAM: UNKNOWN PAM ERROR (12) during Account Management for User: name_of_the_user [2012/05/25 13:32:08.435763, 0] auth/pampass.c:794(smb_pam_accountcheck) 我正在运行的系统是具有Samba 3.5.6的Debian稳定机器。 任何想法可能会导致这种或任何方式从桑巴获得更多的信息(考虑到“UKNOWN PAM错误”是相当神秘)。 编辑:正如在评论中所讨论的,我已经添加了额外的日志(日志级别3)。 还有更多logging,虽然这是我发现它看起来可能是有趣的: [2012/05/25 15:28:13.682595, 3] auth/auth.c:265(check_ntlm_password) check_ntlm_password: sam authentication for user [name_of_user] succeeded [2012/05/25 15:28:13.682650, 3] smbd/sec_ctx.c:210(push_sec_ctx) push_sec_ctx(0, 0) : […]
proftpd: pam_ecryptfs: Error getting passwd info for user [USERNAME] 几乎每次用户通过FTP进行连接时,系统日志中都会出现这个错误,用户可以连接,而且会话似乎不会中断。 ProFTPD.log显示没有错误,此警告只显示在系统日志中。 我的VPS运行的Ubuntu 11.10和Proftpd 1.3.4rc2从Ubuntu的回购,我只做了一些改变的configuration(没有怪异的authentication方法)。 这已经持续了相当长的一段时间,但我找不到原因。 任何人有任何想法? 编辑:一直在四处张望,但我可以find这个错误是程序本身的源代码; 它似乎是和ecryptfs-utils错误,只有proftpd触发。
你可以从$ remote_user中检查用户组吗? location ~ ^/dav/(.*)$ { alias /home/$remote_user/$1; auth_pam "Restricted"; auth_pam_service_name "nginx"; dav_methods PUT DELETE MKCOL COPY MOVE; dav_access group:rw all:r; create_full_put_path on; } location ~ ^/home/(.*)$ { alias /home/$1; #check the group of the $remote_user; } curl -T test.txt'http :// gert:[email protected]/dav/ ' curl'http:// friend:[email protected]/home/gert/test.txt '
我们正在将我们networking的一小部分离线,并使用该部分运行单独的networking。 (小部分我的意思是2台服务器,将连接到30个奇怪的盒子,通常不是我们的networking的一部分,并且不需要authentication。) 我打算在其中一台服务器上创build虚拟机,以提供一般用户服务,以及IRC服务器,远程shell等。我希望用户能够使用他们通常的服务器日志详细信息。 问题是通常检查这些细节的LDAP服务器不是服务器之一。 所以我需要以某种方式把他们的细节closuresLDAP,并将其放在即将到来的服务器上。 我的一个build议是在本地设置虚拟机上的LDAP服务器,并将LDAP数据库克隆到它(使用称为slapcat的东西)。 这是最好的方法吗? 或者我可以将LDAP数据更改为本地authentication数据?
如何在OS X 10.8(Mountain Lion)上为密码为空的用户启用sshlogin? 我见过其他人问这个问题,和我一样,这也是出于同样的原因:无法处理密码的父母。 所以“设置密码”不是一个选项。 我发现将“nullok”添加到各种PAMconfiguration文件的参考。 没有工作。 findsshdconfiguration“PermitEmptyPasswords yes”。 没有工作。 更新的信息:一个公共/私人ssh密钥对已经build立,并正在我的帐户(它有一个密码)在同一台机器上成功使用。 〜/ .ssh目录和私钥的文件权限是正确的。 我在一个成功的ssh和一个没有密码的账户之间的“ssh -vvv”上做了一个比较。 54,55c54,55 < debug2: dh_gen_key: priv key bits set: 133/256 < debug2: bits set: 533/1024 — > debug2: dh_gen_key: priv key bits set: 140/256 > debug2: bits set: 508/1024 67c67 < debug2: bits set: 509/1024 — > debug2: bits set: […]