我在Linux Mint Debian Edition跟踪Wheezy / Sid上运行lxc。 我用“lxc-create -t debian -n dev”创build了一个容器。 根据LXC上的Debian wiki文章,我已经将cgroups文件系统安装为/ cgroup,并在“GRUB_CMDLINE_LINUX_DEFAULT”设置中添加了“cgroup_enable = memory”来启用cgroup内存控件(不确定这是否仍然需要,但不应该伤害,我正在运行内核3.2.0-1-amd64)。 启动容器后,我添加了一个用户,一切似乎都很好。 如果我尝试使用新用户login系统,我会得到以下信息: # ssh dev@dev dev@dev's password: The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Debian GNU/Linux comes with ABSOLUTELY NO […]
Git能否通过PAMauthentication虚拟用户? 特别是,Git是否需要一些额外的function,比如gitolite或gitosis ?
我在Debian Squeeze上通过pam设置vsftpd和mysql auth。 configuration: auth required pam_mysql.so user=server passwd=x host=localhost db=server table=ftp usercolumn=username passwdcolumn=password crypt=2 sqllog=1 logtable=ftp_logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime account required pam_mysql.so user=server passwd=x host=localhost db=server table=ftp usercolumn=username passwdcolumn=password crypt=2 sqllog=1 logtable=ftp_logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime 现在,当我login时,一切正常(没有错误!),但在ftp_logs表中它是: authentication错误(FIRST_PASS) authentication成功 质疑成功 这一切都发生在同一秒和Im使用显式的TLS。 FALURE来自哪里?
对,所以我有winbind身份validation设置login。 不过,我认为在某些情况下,用户可以设置它们的unix密码(在传统的/ etc / passwd和/ etc / shadow文件中)。 我在做这件事真的很麻烦。 我的/etc/pam.d/passwd文件在我的系统(ArchLinux)上是这样发货的: password required pam_unix.so sha512 shadow nullok 如果我使用pam_winbind来代替,那么密码将在域中进行validation并正确更改。 但是,我真正想要的是使用户可以使用pam_winbind进行身份validation ,然后使用pam_unix 设置密码(最好不要在域中设置密码,因为如果它与现有密码相同,则可能会失败) 。 有没有办法做到这一点? 如果我在pam_unix上面运行pam_winbind,pam_unix仍然要求自己的密码,而use_authtok没有帮助:它仍然要求input当前的unix密码。 传递use_first_pass不起作用,因为密码不匹配。
我们已经在RHEL上安装了Winbind / Kerberos进行AD身份validation。 正常工作,但我注意到,当密码过期,我们得到一个警告,但shell访问仍然被授予。 处理这个问题的正确方法是什么? 一旦发现密码过期,我们可以告诉PAMclosures会话吗? 例: login as: ad-user [email protected]'s password: Warning: password has expired. [ad-user@server ~]$ /etc/pam.d/system-auth的内容: auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_krb5.so use_first_pass auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so account [default=2 success=ignore] pam_succeed_if.so quiet uid >= 10000000 account sufficient […]
我遇到了Samba 4和Kerberos的问题。 如果我调用kinit ,它会在获取初始凭证时写入Kerberos数据库中找不到的客户端 。 我发现,Kerberos只与用户名一起工作,但是系统标识了域名和反斜杠作为前缀的所有域用户,Kerberos不喜欢它。 $ ssh user@machine #I don't need the domain name while logging in DOMAIN\user@machine$ kinit # does not work DOMAIN\user@machine$ kinit DOMAIN\user # does work neither DOMAIN\user@machine$ kinit user # works DOMAIN\user@machine$ id uid=2010(DOMAIN\user) gid=100(users) skupiny=100(users) DOMAIN\user@machine$ getent passwd # all domain users prefixed with 'DOMAIN\' 在由ls -l打印的文件列表中也是如此: -rw-r–r– 1 […]
我有一个Ubuntu 14.04服务器,使用apt-get安装vsftpd和pam_script。 我已经configurationvsftpd使用pam_script进行虚拟用户身份validation,我的/etc/pam.d/vsftpd文件如下所示: auth sufficient pam_script.so account required pam_permit.so pam_script_auth脚本非常简单: #!/bin/bash echo "$PAM_USER" >> /home/me/pam_script.log if [ "$PAM_USER" == "asdf" ]; then exit 0 fi exit 1 我已经确认这个脚本是正确使用的(每次我尝试login到vsftpd时都会logging用户名)。 理论上这应该允许访问asdf用户而不pipe密码如何,并且不允许其他人使用。 但是,每次尝试使用不同的用户名时,vsftpd都会冻结。 我这样testing: $ ftp localhost Connected to **** 220 (vsFTPd 3.0.2) Name (****:edziubudzik): [I type "asdf2"] 331 Please specify the password. Password: 提供密码后没有任何反应,vsftpd冻结 – 它不接受任何其他连接,直到我重新启动它。 /var/log/vsftpd.log只注册来自IP地址的连接( […]
从客户端连接到服务器: $ ssh -vvv [email protected] OpenSSH_6.2p2, OSSLShim 0.9.8r 8 Dec 2011 debug1: Reading configuration data /etc/ssh_config debug1: /etc/ssh_config line 20: Applying options for * debug1: /etc/ssh_config line 102: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to 10.0.50.170 [10.0.50.170] port 17622. debug1: Connection established. debug3: Incorrect RSA1 identifier debug3: Could not load "/Users/userlocal/.ssh/id_rsa" […]
我通过Dovecot SASL设置了带有Postfix SMTP auth的服务器。 然而,开箱即用的PAM标准是不可能的。 所以更偶然的是,我把它改为影子驱动,如Dovecot文档中所述,configuration和设置立即运行。 在Dovecot的configuration文件中保存/etc/shadow作为密码数据库有什么缺点吗? 尤其是,它会影响Postfix / Dovecot /服务器的安全吗? 该文件只是说,“PAM通常是首选”,但没有进一步解释为什么。
我试图用PAM和Kerberos设置Winbind来对活动目录进行validationCentOS 7。 到目前为止,这是我所做的: yum -y install authconfig krb5-workstation pam_krb5 samba-common oddjob-mkhomedir yum -y install samba-winbind-modules authconfig –disablecache –enablewinbind –enablewinbindauth –smbsecurity=ads –smbworkgroup={DOMAIN-NETBIOSNAME} –smbrealm={My.DOMAINCOM} –enablewinbindusedefaultdomain –winbindtemplatehomedir=/home/{my.domain.com}/%U –winbindtemplateshell=/bin/bash –enablekrb5 –krb5realm={MY.DOMAIN.COM} –enablekrb5kdcdns –enablekrb5realmdns –enablelocauthorize –enablemkhomedir –enablepamaccess –updateall kinit -v my.username 我尝试获取Kerberos票据时收到以下错误消息: kinit:validation凭证时未find凭证caching文件“/ tmp / krb5cc_0” 所以我试了 touch /tmp/krb5cc_0 && chmod 777 /tmp/krb5cc_0 && kinit -v my.username 由此产生的错误是: kinit:validation凭据时凭据caching中的格式不正确 我也尝试创build一个本地用户与AD用户具有相同的名称,我试图用相同的结果进行身份validation。 […]