我正在尝试使用pam来公开使用sshlogin,并使用yubikey或google_authenticator。 testing时,我有一个SSH会话打开,以保持自己login。幸运的是,我的连接下降,我登出了自己。 如果我尝试loginssh客户端请求我的yubikey第一次,然后为我的谷歌totp 3次。 但是我无法成功login。 有没有什么办法可以login,而无需启动恢复? 我目前的pam.d / sshdconfiguration文件看起来像这样 # Standard Un*x authentication. #@include common-auth # try YubiKey fist and if it fails try the google authenticator auth [success=0 default=ignore] pam_yubico.so id=22748 debug auth required pam_google_authenticator.so #auth required pam_unix.so nullok # Disallow non-root logins when /etc/nologin exists. account required pam_nologin.so # Uncomment and edit /etc/security/access.conf […]
我目前正在尝试使用rsync同步两台服务器之间的数据。 目标主机只能通过PAM代理访问。 当使用rsync -v -e ssh / local / pam_user @ target_user @ target_host @ pam_host 我得到以下错误: protocol version mismatch — is your shell clean? (see the rsync man page for an explanation) rsync error: protocol incompatibility (code 2) at compat.c(174) [sender=3.0.9] protocol version mismatch — is your shell clean? (see the rsync man page […]
我在RedHat上安装了一个简单的postfix安装,运行良好多年,并使用TLS / saslauthd / PAM来允许用户通过身份validation来从外部networking中继邮件。 所有用户都是本地Linux帐户,所以使用PAM的saslauthd方法一般运行良好。 有几个本地帐户不用于用户login,并将shell设置为/ sbin / nologin,但这些帐户仍然通过SMTP通过saslauthd公开。 我还没有find任何明显的方法来提供saslauthd帐户列表,应拒绝authentication。 基本上,我正在寻找一种白名单或黑名单用户帐户的方式,以便他们总是拒绝SMTP中继许可。 我不希望所有现有的本地帐户被允许中继邮件,只有那些我select的邮件。 有没有一个方便的方法来做到这一点,而不是我的当前身份validation链的重大变化?
我正在运行Ubuntu 10.10并尝试使用pam_ldap设置pam。 该指南在http://wiki.debian.org/LDAP/PAM中说: In order to globally enable LDAP authentication through PAM, configure /etc/pam_ldap.conf accordingly and edit the /etc/pam.d/common-* files so that they contain something like this: /etc/pam.d/common-account: account required pam_unix.so account sufficient pam_succeed_if.so uid < 1000 quiet account [default=bad success=ok user_unknown=ignore] pam_ldap.so account required pam_permit.so 现在,以这个文件为例,我看到: # here are the per-package modules (the "Primary" […]
我一直有麻烦试图让我的Solaris 10服务器进行身份validation与eDir server.im托pipe设置我的Linux(RHeL,SLES)服务器进行身份validation对LDAP服务器。 这是我的configuration文件。 ldapclient列表: NS_LDAP_FILE_VERSION= 2.0 NS_LDAP_BINDDN= cn=proxyuser,o=AEDev NS_LDAP_BINDPASSWD= {NS1}ecfa88f3a945c22222233 NS_LDAP_SERVERS= 192.168.0.19 NS_LDAP_SEARCH_BASEDN= ou=auth,o=AEDev NS_LDAP_AUTH= simple NS_LDAP_SEARCH_SCOPE= sub NS_LDAP_CACHETTL= 0 NS_LDAP_CREDENTIAL_LEVEL= anonymous NS_LDAP_SERVICE_SEARCH_DESC= group:ou=Groups,ou=auth,o=AEDev NS_LDAP_SERVICE_SEARCH_DESC= shadow:ou=users,ou=auth,o=AEDev?sub?objectClass=shadowAccount NS_LDAP_SERVICE_SEARCH_DESC= passwd:ou=auth,o=AEDev?sub?objectClass=posixAccount NS_LDAP_BIND_TIME= 10 NS_LDAP_SERVICE_AUTH_METHOD= pam_ldap:simple getent passwd正常工作: root:x:0:0:Super-User:/:/sbin/sh daemon:x:1:1::/: bin:x:2:2::/usr/bin: sys:x:3:3::/: adm:x:4:4:Admin:/var/adm: lp:x:71:8:Line Printer Admin:/usr/spool/lp: uucp:x:5:5:uucp Admin:/usr/lib/uucp: nuucp:x:9:9:uucp Admin:/var/spool/uucppublic:/usr/lib/uucp/uucico smmsp:x:25:25:SendMail Message Submission Program:/: listen:x:37:4:Network Admin:/usr/net/nls: gdm:x:50:50:GDM Reserved […]
我见过很多解决scheme,像homedir=/somepath/$USER ,其中$USER从sysvar中获取,我想用mysql数据库来更改每个用户。 我用它与pam-mysql,所以它看起来像 Id login passwd homedirectory 我想这个主目录放在vsftpd.conf-> home_directory = 类似的东西 select homedirectory from vsftpd where login='$USER' 可能吗?
我们刚升级Ubuntu Server 10.10到11.04。 在此升级之后,似乎Vsftpd与pam_userdblogin不再起作用。 我正在调查这个,似乎/lib/security/pam_userdb.so丢失。 这是非常奇怪的,即使我做sudo apt-get install –reinstall libpam-modules它仍然缺less。 任何想法是怎么回事? 这是一个已知的错误还是在我们的结尾有什么问题? PS Vsftpd与userdblogin工作正常,至less有3个以前的版本的Ubuntu,现在这个11.04升级似乎已经打破了它。
继续从如何设置所有types的连接ssh的umask 是否有可能在每个用户的基础上做到这一点? 以下是我现在所拥有的: /etc/pam.d/ssh sesssion optional pam.umask.so umask=0027 谢谢。
SASL / PAM / LDAP让我疯狂……当我在这个领域上search问题时,我读了很多东西,以及我自己的经历:-S我想让Cyrus imap在CentOS上为虚拟主机工作授权后端,真的不知道发生了什么事情。 在saslauthd中,我configuration了LDAPsearchfilter,但看起来像pam完全忽略了它。 这是我做testing(做更多的testing,但都有类似的结果): [root@testserv ~]# imtest -u [email protected] -a [email protected] WARNING: no hostname supplied, assuming localhost S: * OK [CAPABILITY IMAP4 IMAP4rev1 LITERAL+ ID STARTTLS] testserv. Cyrus IMAP4 v2.3.7-Invoca-RPM-2.3.7-7.el5_6.4 server ready C: C01 CAPABILITY S: * CAPABILITY IMAP4 IMAP4rev1 LITERAL+ ID STARTTLS ACL RIGHTS=kxte QUOTA MAILBOX-REFERRALS NAMESPACE UIDPLUS NO_ATOMIC_RENAME UNSELECT […]
pipe理成功configurationpppd以使用PAM( /etc/pam.d/ppp )进行身份validation步骤(除auth外还使用了login选项)。 但是,这似乎只适用于PAP( require pap , refuse chap )。 当切换到需要chap / mschap时,PAM方法不再有效。 我只是在日志中出现错误:“用户X无法用CHAP进行身份validation”。 任何方式使其工作? 因为我是如何理解的,PAP是明文,而(MS)CHAP实现支持挑战/响应或encryption方法(因此更安全)。